WinDealer Malware

Számos új rosszindulatú programcsaládot azonosítottak a biztonsági kutatók. Az egyiket WinDealer-nek hívják, és egy LuoYu nevű fenyegetés szereplőjéhez kötik. A LuoYu több mint egy évtizede létezik, és támadásokat hajt végre elsősorban Kínában található szervezetek, például külföldi diplomáciai testületek és érzékeny információkkal foglalkozó vállalatok ellen a védelmi és távközlési szektorban.

Míg a LuoYu korábban olyan támadásokat alkalmazott, amelyek feltört webhelyeket alkalmaztak, majd később vízforrásként használtak. 2020-ban a fenyegetés szereplője áttért a WinDealer rosszindulatú program új terjesztési módszereire. A fenyegetés szereplője visszaélni kezdett a legális alkalmazások frissítési folyamataival.

A kutatók belefutottak egy digitálisan aláírt és egy évtizede lefordított futtatható fájlba, amelyet a WinDealer telepítéséhez használtak. A zavaró rész az, hogy a szoftverfrissítő egy hardcoded URL-t használ, amelyet a javítások megragadására használ. A címen található fájl nem volt rosszindulatú, de néhány ritka esetben a frissítés a WinDealer egy példányát tölti le a törvényes frissítés helyett.

A WinDealer a képességek széles skálájával rendelkezik, és egy moduláris eszköz, amely lehetővé teszi a kezelők számára, hogy olvasási és írási műveleteket hajtsanak végre fájlokban, rendszerinformációkat lekaparjanak, fájlokat mindkét irányban vigyenek át, távoli parancsokat hajtsanak végre és képernyőképeket készítsenek.

Úgy tűnik, hogy a rosszindulatú program infrastruktúrája dacol a hiedelmekkel. Az elemzés kimutatta, hogy a WinDealer sima HTTP-kérésekkel kerül elosztásra, amelyek legtöbbször normál, legitim végrehajtható fájlokat adnak vissza. Ezenkívül a rosszindulatú program által kommunikálni képes IP-címek és tartományok tartománya túlzónak tűnik, még nagyobb méret esetén is

fenyegetés szereplője, ami arra késztette a kutatókat, hogy valószínűleg egy ember áll a kártevőt használó támadások oldalán.