Software malicioso WinDealer

Los investigadores de seguridad han identificado varias nuevas familias de malware. Uno de ellos se llama WinDealer y está asociado con un actor de amenazas llamado LuoYu. LuoYu ha existido durante más de una década, ejecutando ataques dirigidos principalmente a entidades ubicadas en China, como organismos diplomáticos extranjeros y empresas que trabajan con información confidencial en los sectores de defensa y telecomunicaciones.

Si bien LuoYu utilizó anteriormente ataques que empleaban sitios web comprometidos, luego se usaron como pozos de agua. En 2020, el actor de amenazas pasó a nuevos métodos de distribución para el malware WinDealer. El actor de amenazas comenzó a abusar de los procesos de actualización de aplicaciones legítimas.

Los investigadores se encontraron con un ejecutable que fue firmado y compilado digitalmente hace una década, que se usó para implementar WinDealer. La parte confusa es que el actualizador de software usa una URL codificada que usa para obtener parches. El archivo ubicado en la dirección no era malicioso, pero en raras ocasiones, la actualización descargaba una instancia de WinDealer en lugar de la actualización legítima.

WinDealer tiene una amplia gama de capacidades y es una herramienta modular que permite a los operadores ejecutar operaciones de lectura y escritura en archivos, extraer información del sistema, transferir archivos en ambos sentidos, ejecutar comandos remotos y capturar capturas de pantalla.

La infraestructura del malware es lo que parece desafiar la creencia. El análisis mostró que WinDealer se distribuye utilizando solicitudes HTTP simples que devolverían ejecutables normales y legítimos la mayor parte del tiempo. Además, el rango de direcciones IP y dominios con los que el malware puede comunicarse parece exorbitante, incluso para un número mayor.

actor de amenazas, lo que hizo que los investigadores pensaran que es probable que haya un hombre en el componente lateral de los ataques que utilizan el malware.