Złośliwe oprogramowanie WinDealera

Badacze bezpieczeństwa zidentyfikowali kilka nowych rodzin złośliwego oprogramowania. Jeden z nich nazywa się WinDealer i jest powiązany z aktorem zajmującym się zagrożeniami o imieniu LuoYu. LuoYu istnieje od ponad dekady, przeprowadzając ataki, których celem są głównie podmioty zlokalizowane w Chinach, takie jak zagraniczne organy dyplomatyczne i firmy pracujące z poufnymi informacjami w sektorach obronnym i telekomunikacyjnym.

Podczas gdy LuoYu wcześniej wykorzystywał ataki wykorzystujące zhakowane strony internetowe, później wykorzystywane jako wodopoje. W 2020 roku cyberprzestępca przeniósł się na nowe metody dystrybucji złośliwego oprogramowania WinDealer. Aktor zagrożeń zaczął nadużywać procesów aktualizacji legalnych aplikacji.

Badacze natknęli się na plik wykonywalny, który został podpisany cyfrowo i skompilowany dziesięć lat temu, który został użyty do wdrożenia WinDealera. Mylące jest to, że aktualizator oprogramowania używa zakodowanego na stałe adresu URL, którego używa do pobierania poprawek. Plik znajdujący się pod adresem nie był złośliwy, ale w rzadkich przypadkach aktualizacja pobierała instancję WinDealera zamiast legalnej aktualizacji.

WinDealer ma szeroki zakres możliwości i jest narzędziem modułowym, umożliwiającym operatorom wykonywanie operacji odczytu i zapisu plików, zbieranie informacji o systemie, przesyłanie plików w obie strony, wykonywanie poleceń zdalnych i przechwytywanie zrzutów ekranu.

Infrastruktura złośliwego oprogramowania wydaje się przeczyć uwierzeniom. Analiza wykazała, że WinDealer jest dystrybuowany za pomocą zwykłych żądań HTTP, które przez większość czasu zwracają normalne, legalne pliki wykonywalne. Ponadto zakres adresów IP i domen, z którymi może komunikować się złośliwe oprogramowanie, wydaje się wygórowany, nawet jak na większą

cyberprzestępca, co sprawiło, że badacze przypuszczali, że prawdopodobnie po stronie komponentu ataków z wykorzystaniem szkodliwego oprogramowania znajduje się człowiek.