Logiciel malveillant WinDealer
Plusieurs nouvelles familles de logiciels malveillants ont été identifiées par des chercheurs en sécurité. L'un d'eux s'appelle WinDealer et est associé à un acteur menaçant nommé LuoYu. LuoYu existe depuis plus d'une décennie, exécutant des attaques ciblant principalement des entités situées en Chine telles que des corps diplomatiques étrangers et des entreprises travaillant avec des informations sensibles dans les secteurs de la défense et des télécommunications.
Alors que LuoYu utilisait auparavant des attaques qui utilisaient des sites Web compromis, plus tard utilisés comme points d'eau. En 2020, l'acteur de la menace est passé à de nouvelles méthodes de distribution du malware WinDealer. L'acteur de la menace a commencé à abuser des processus de mise à jour des applications légitimes.
Les chercheurs sont tombés sur un exécutable signé numériquement et compilé il y a dix ans, qui a été utilisé pour déployer WinDealer. La partie déroutante est que le programme de mise à jour du logiciel utilise une URL codée en dur qu'il utilise pour récupérer les correctifs. Le fichier situé à l'adresse n'était pas malveillant, mais en de rares occasions, la mise à jour téléchargeait une instance de WinDealer au lieu de la mise à jour légitime.
WinDealer dispose d'un large éventail de fonctionnalités et est un outil modulaire, permettant aux opérateurs d'exécuter des opérations de lecture et d'écriture sur des fichiers, de récupérer des informations système, de transférer des fichiers dans les deux sens, d'exécuter des commandes à distance et de capturer des captures d'écran.
L'infrastructure du malware est ce qui semble défier toute croyance. L'analyse a montré que WinDealer est distribué à l'aide de requêtes HTTP simples qui renverraient des exécutables normaux et légitimes la plupart du temps. De plus, la gamme d'adresses IP et de domaines avec lesquels le logiciel malveillant peut communiquer semble exorbitante, même pour une plus grande
acteur de la menace, ce qui a fait penser aux chercheurs qu'il y a probablement un homme sur le côté des attaques utilisant le logiciel malveillant.