„WinDealer“ kenkėjiška programa

Saugumo tyrinėtojai nustatė keletą naujų kenkėjiškų programų šeimų. Vienas iš jų vadinamas WinDealer ir yra susijęs su grėsmių veikėju LuoYu. „LuoYu“ gyvuoja daugiau nei dešimtmetį, vykdydama atakas, pirmiausia nukreiptas į Kinijoje esančius subjektus, pavyzdžiui, užsienio diplomatines institucijas ir įmones, dirbančias su slapta informacija gynybos ir telekomunikacijų sektoriuose.

Nors LuoYu anksčiau naudojo atakas, kuriose buvo naudojamos pažeistos svetainės, o vėliau buvo naudojamos kaip vandens skylės. 2020 m. grėsmės veikėjas perėjo prie naujų „WinDealer“ kenkėjiškų programų platinimo metodų. Grėsmės veikėjas pradėjo piktnaudžiauti teisėtų programų atnaujinimo procesais.

Tyrėjai pateko į vykdomąjį failą, kuris buvo pasirašytas skaitmeniniu būdu ir sudarytas prieš dešimtmetį, ir kuris buvo naudojamas „WinDealer“ diegti. Paini dalis yra ta, kad programinės įrangos atnaujinimo programa naudoja užkoduotą URL, kurį naudoja pataisoms paimti. Failas, esantis šiuo adresu, nebuvo kenkėjiškas, tačiau kai kuriais retais atvejais naujinimas atsisiųsdavo WinDealer egzempliorių, o ne teisėtą naujinimą.

„WinDealer“ turi platų galimybių spektrą ir yra modulinis įrankis, leidžiantis operatoriams atlikti skaitymo ir rašymo į failus operacijas, nuskaityti sistemos informaciją, perkelti failus į abi puses, vykdyti nuotolines komandas ir užfiksuoti ekrano kopijas.

Panašu, kad kenkėjiškų programų infrastruktūra prieštarauja tikėjimui. Analizė parodė, kad „WinDealer“ platinamas naudojant paprastas HTTP užklausas, kurios dažniausiai grąžintų įprastus, teisėtus vykdomuosius failus. Be to, IP adresų ir domenų, su kuriais gali susisiekti kenkėjiška programa, diapazonas atrodo pernelyg didelis, net jei jis yra didesnis

grėsmės veikėjas, o tai privertė tyrėjus manyti, kad išpuolių, naudojančių kenkėjišką programą, šalutinis komponentas yra žmogus.