Malware WinDealer
Várias novas famílias de malware foram identificadas por pesquisadores de segurança. Um deles é chamado WinDealer e está associado a um agente de ameaças chamado LuoYu. A LuoYu existe há mais de uma década, executando ataques direcionados principalmente a entidades localizadas na China, como órgãos diplomáticos estrangeiros e empresas que trabalham com informações confidenciais nos setores de defesa e telecomunicações.
Enquanto o LuoYu usava anteriormente ataques que empregavam sites comprometidos, mais tarde usados como watering holes. Em 2020, o agente da ameaça mudou para novos métodos de distribuição do malware WinDealer. O agente da ameaça começou a abusar dos processos de atualização de aplicativos legítimos.
Os pesquisadores encontraram um executável assinado e compilado digitalmente há uma década, que foi usado para implantar o WinDealer. A parte confusa é que o atualizador de software usa um URL codificado que ele usa para pegar patches. O arquivo localizado no endereço não era malicioso, mas em algumas raras ocasiões, a atualização baixava uma instância do WinDealer em vez da atualização legítima.
O WinDealer tem uma ampla gama de recursos e é uma ferramenta modular, permitindo que os operadores executem operações de leitura e gravação em arquivos, obtenham informações do sistema, transfiram arquivos nos dois sentidos, executem comandos remotos e capturem capturas de tela.
A infraestrutura do malware é o que parece desafiar a crença. A análise mostrou que o WinDealer é distribuído usando solicitações HTTP simples que retornariam executáveis normais e legítimos na maioria das vezes. Além disso, a variedade de IPs e domínios com os quais o malware pode se comunicar parece exorbitante, mesmo para um número maior
agente de ameaça, o que fez os pesquisadores pensarem que provavelmente há um homem do lado dos ataques usando o malware.