Κακόβουλο λογισμικό WinDealer
Αρκετές νέες οικογένειες κακόβουλου λογισμικού έχουν εντοπιστεί από ερευνητές ασφαλείας. Ένας από αυτούς ονομάζεται WinDealer και σχετίζεται με έναν ηθοποιό απειλών που ονομάζεται LuoYu. Η LuoYu υπάρχει εδώ και πάνω από μια δεκαετία, εκτελώντας επιθέσεις που στοχεύουν κυρίως οντότητες που βρίσκονται στην Κίνα, όπως ξένα διπλωματικά σώματα και εταιρείες που εργάζονται με ευαίσθητες πληροφορίες στον τομέα της άμυνας και των τηλεπικοινωνιών.
Ενώ ο LuoYu χρησιμοποιούσε προηγουμένως επιθέσεις που χρησιμοποιούσαν παραβιασμένους ιστότοπους, αργότερα χρησιμοποιήθηκαν ως τρύπες. Το 2020, ο παράγοντας απειλών προχώρησε σε νέες μεθόδους διανομής για το κακόβουλο λογισμικό WinDealer. Ο παράγοντας απειλών άρχισε να καταχράται τις διαδικασίες ενημέρωσης νόμιμων εφαρμογών.
Οι ερευνητές συνάντησαν ένα εκτελέσιμο αρχείο που υπογράφηκε ψηφιακά και μεταγλωττίστηκε πριν από μια δεκαετία, το οποίο χρησιμοποιήθηκε για την ανάπτυξη του WinDealer. Το μέρος που προκαλεί σύγχυση είναι ότι το πρόγραμμα ενημέρωσης λογισμικού χρησιμοποιεί μια ενσωματωμένη διεύθυνση URL που χρησιμοποιεί για να συλλάβει ενημερώσεις κώδικα. Το αρχείο που βρίσκεται στη διεύθυνση δεν ήταν κακόβουλο, αλλά σε ορισμένες σπάνιες περιπτώσεις, η ενημέρωση θα κατέβαζε μια παρουσία του WinDealer αντί για τη νόμιμη ενημέρωση.
Το WinDealer έχει ένα ευρύ φάσμα δυνατοτήτων και είναι ένα αρθρωτό εργαλείο, που επιτρέπει στους χειριστές να εκτελούν λειτουργίες ανάγνωσης και εγγραφής σε αρχεία, να αποκόπτουν πληροφορίες συστήματος, να μεταφέρουν αρχεία με δύο τρόπους, να εκτελούν απομακρυσμένες εντολές και να καταγράφουν στιγμιότυπα οθόνης.
Η υποδομή του κακόβουλου λογισμικού είναι αυτό που φαίνεται να αψηφά την πεποίθηση. Η ανάλυση έδειξε ότι το WinDealer διανέμεται χρησιμοποιώντας απλά αιτήματα HTTP που θα επέστρεφαν κανονικά, νόμιμα εκτελέσιμα τις περισσότερες φορές. Επιπλέον, το εύρος των IP και των τομέων με τους οποίους μπορεί να επικοινωνεί το κακόβουλο λογισμικό φαίνεται υπερβολικό, ακόμη και για μεγαλύτερο
παράγοντας απειλής, που έκανε τους ερευνητές να πιστέψουν ότι υπάρχει πιθανός ένας άνθρωπος στο πλευρό των επιθέσεων που χρησιμοποιούν το κακόβουλο λογισμικό.