WinDealer Malware

Flera nya skadliga programfamiljer har identifierats av säkerhetsforskare. En av dem heter WinDealer och är förknippad med en hotaktör som heter LuoYu. LuoYu har funnits i över ett decennium och utfört attacker främst riktade mot enheter i Kina såsom utländska diplomatiska organ och företag som arbetar med känslig information inom försvars- och telekomsektorerna.

Medan LuoYu tidigare använde attacker som använde komprometterade webbplatser, som senare användes som vattenhål. 2020 gick hotaktören vidare till nya distributionsmetoder för WinDealer malware. Hotaktören började missbruka uppdateringsprocesserna för legitima applikationer.

Forskare stötte på en körbar fil som signerades digitalt och kompilerades för ett decennium sedan, som användes för att distribuera WinDealer. Den förvirrande delen är att mjukvaruuppdateringen använder en hårdkodad URL som den använder för att ta tag i patchar. Filen som finns på adressen var inte skadlig, men vid några sällsynta tillfällen laddade uppdateringen ner en instans av WinDealer istället för den legitima uppdateringen.

WinDealer har ett brett utbud av möjligheter och är ett modulärt verktyg som låter operatörer utföra läs- och skrivoperationer till filer, skrapa systeminformation, överföra filer åt båda hållen, utföra fjärrkommandon och ta skärmdumpar.

Skadlig programvaras infrastruktur är vad som verkar trotsa tron. Analyser visade att WinDealer distribueras med vanliga HTTP-förfrågningar som skulle returnera normala, legitima körbara filer för det mesta. Dessutom verkar utbudet av IP-adresser och domäner som skadlig programvara kan kommunicera med orimligt, även för en större

hot aktör, vilket fick forskare att tro att det sannolikt finns en man vid sidan av komponenten till attackerna med skadlig programvara.