Вредоносное ПО WinDealer

Исследователи безопасности выявили несколько новых семейств вредоносных программ. Один из них называется WinDealer и связан с злоумышленником по имени LuoYu. LuoYu существует уже более десяти лет, выполняя атаки, в первую очередь нацеленные на организации, расположенные в Китае, такие как иностранные дипломатические учреждения и компании, работающие с конфиденциальной информацией в оборонном и телекоммуникационном секторах.

В то время как LuoYu ранее использовал атаки с использованием скомпрометированных веб-сайтов, которые позже использовались в качестве водопоя. В 2020 году злоумышленник перешел к новым методам распространения зловреда WinDealer. Злоумышленник начал злоупотреблять процессами обновления легитимных приложений.

Исследователи столкнулись с исполняемым файлом, который был скомпилирован и подписан цифровой подписью десять лет назад и использовался для развертывания WinDealer. Сбивает с толку то, что средство обновления программного обеспечения использует жестко заданный URL-адрес, который он использует для получения исправлений. Файл, расположенный по адресу, не был вредоносным, но в некоторых редких случаях обновление загружало экземпляр WinDealer вместо законного обновления.

WinDealer обладает широким спектром возможностей и представляет собой модульный инструмент, позволяющий операторам выполнять операции чтения и записи файлов, извлекать системную информацию, передавать файлы в обе стороны, выполнять удаленные команды и делать снимки экрана.

Инфраструктура вредоносного ПО кажется невероятным. Анализ показал, что WinDealer распространяется с использованием простых HTTP-запросов, которые в большинстве случаев возвращают нормальные законные исполняемые файлы. Кроме того, диапазон IP-адресов и доменов, с которыми может взаимодействовать вредоносное ПО, кажется чрезмерным даже для более крупного масштаба.

злоумышленника, что навело исследователей на мысль, что в атаках с использованием вредоносного ПО, вероятно, участвует человек.