WinDealer skadelig programvare

Flere nye malware-familier har blitt identifisert av sikkerhetsforskere. En av dem heter WinDealer og er assosiert med en trusselaktør ved navn LuoYu. LuoYu har eksistert i over et tiår, og utført angrep primært rettet mot enheter lokalisert i Kina som utenlandske diplomatiske organer og selskaper som jobber med sensitiv informasjon i forsvars- og telekomsektorene.

Mens LuoYu tidligere brukte angrep som brukte kompromitterte nettsteder, senere brukt som vannhull. I 2020 gikk trusselaktøren videre til nye distribusjonsmetoder for WinDealer malware. Trusselaktøren begynte å misbruke oppdateringsprosessene til legitime applikasjoner.

Forskere løp inn i en kjørbar fil som ble digitalt signert og kompilert for et tiår siden, som ble brukt til å distribuere WinDealer. Den forvirrende delen er at programvareoppdateringen bruker en hardkodet URL som den bruker for å hente patcher. Filen som ligger på adressen var ikke skadelig, men i noen sjeldne tilfeller ville oppdateringen laste ned en forekomst av WinDealer i stedet for den legitime oppdateringen.

WinDealer har et bredt spekter av muligheter og er et modulært verktøy som lar operatører utføre lese- og skriveoperasjoner til filer, skrape systeminformasjon, overføre filer begge veier, utføre eksterne kommandoer og ta skjermbilder.

Skadevarens infrastruktur er det som ser ut til å trosse troen. Analyse viste at WinDealer distribueres ved hjelp av vanlige HTTP-forespørsler som ville returnere normale, legitime kjørbare filer mesteparten av tiden. I tillegg virker utvalget av IP-er og domener skadevare kan kommunisere med ublu, selv for en større

trusselaktør, noe som fikk forskere til å tro at det sannsynligvis er en mann på sidekomponenten til angrepene ved hjelp av skadelig programvare.