Malware WinDealer
Diverse nuove famiglie di malware sono state identificate dai ricercatori della sicurezza. Uno di questi si chiama WinDealer ed è associato a un attore di minacce di nome LuoYu. LuoYu è in circolazione da oltre un decennio, eseguendo attacchi mirati principalmente a entità con sede in Cina come corpi diplomatici esteri e società che lavorano con informazioni sensibili nei settori della difesa e delle telecomunicazioni.
Mentre LuoYu in precedenza utilizzava attacchi che utilizzavano siti Web compromessi, in seguito utilizzati come abbeveratoi. Nel 2020, l'attore delle minacce è passato a nuovi metodi di distribuzione del malware WinDealer. L'attore delle minacce ha iniziato ad abusare dei processi di aggiornamento delle applicazioni legittime.
I ricercatori si sono imbattuti in un eseguibile che è stato firmato digitalmente e compilato dieci anni fa, che è stato utilizzato per distribuire WinDealer. La parte confusa è che l'aggiornamento del software utilizza un URL codificato che utilizza per acquisire le patch. Il file che si trova all'indirizzo non era dannoso, ma in alcune rare occasioni l'aggiornamento scaricava un'istanza di WinDealer invece dell'aggiornamento legittimo.
WinDealer ha un'ampia gamma di funzionalità ed è uno strumento modulare, che consente agli operatori di eseguire operazioni di lettura e scrittura su file, acquisire informazioni di sistema, trasferire file in entrambi i modi, eseguire comandi remoti e acquisire schermate.
L'infrastruttura del malware è ciò che sembra sfidare ogni credenza. L'analisi ha mostrato che WinDealer viene distribuito utilizzando semplici richieste HTTP che restituirebbero eseguibili normali e legittimi per la maggior parte del tempo. Inoltre, la gamma di IP e domini con cui il malware può comunicare sembra esorbitante, anche per un numero più ampio
attore di minacce, che ha fatto pensare ai ricercatori che probabilmente c'è un uomo sul componente laterale degli attacchi che utilizzano il malware.