WinDealer-malware

Beveiligingsonderzoekers hebben verschillende nieuwe malwarefamilies geïdentificeerd. Een van hen heet WinDealer en wordt geassocieerd met een dreigingsactor genaamd LuoYu. LuoYu bestaat al meer dan tien jaar en voert aanvallen uit die voornamelijk gericht zijn op entiteiten in China, zoals buitenlandse diplomatieke instanties en bedrijven die werken met gevoelige informatie in de defensie- en telecomsector.

Terwijl LuoYu eerder aanvallen gebruikte die gecompromitteerde websites gebruikten, werden ze later gebruikt als drinkplaatsen. In 2020 ging de dreigingsactor over op nieuwe distributiemethoden voor de WinDealer-malware. De dreigingsactor begon de updateprocessen van legitieme applicaties te misbruiken.

Onderzoekers kwamen een uitvoerbaar bestand tegen dat tien jaar geleden digitaal was ondertekend en gecompileerd en dat werd gebruikt om WinDealer in te zetten. Het verwarrende is dat de software-updater een hardgecodeerde URL gebruikt die wordt gebruikt om patches te pakken. Het bestand op het adres was niet kwaadaardig, maar in sommige zeldzame gevallen downloadde de update een exemplaar van WinDealer in plaats van de legitieme update.

WinDealer heeft een breed scala aan mogelijkheden en is een modulair hulpmiddel waarmee operators lees- en schrijfbewerkingen naar bestanden kunnen uitvoeren, systeeminformatie kunnen schrapen, bestanden in beide richtingen kunnen overbrengen, externe opdrachten kunnen uitvoeren en screenshots kunnen maken.

De infrastructuur van de malware lijkt niet te geloven. Analyse toonde aan dat WinDealer wordt gedistribueerd met behulp van gewone HTTP-verzoeken die meestal normale, legitieme uitvoerbare bestanden zouden retourneren. Bovendien lijkt het bereik van IP's en domeinen waarmee de malware kan communiceren exorbitant, zelfs voor een grotere

dreigingsactor, waardoor onderzoekers dachten dat er waarschijnlijk een man aan de kant is van de aanvallen met behulp van de malware.