WinDealer

Eine weniger bekannte chinesischsprachige Cyberkriminellengruppe führt Angriffsoperationen durch, bei denen eine Informationen stehlende Malware auf den angegriffenen Geräten installiert wird. Die Hacker der LuoYu-Gruppe fangen bei sogenannten Man-on-the-Side-Angriffen die Updates legitimer Apps ab und tauschen sie mit schädlichen Payloads aus. Damit die Infektion erfolgreich ist, überwachen die Bedrohungsakteure aktiv den Netzwerkverkehr ihrer ausgewählten Opfer. Wenn eine Anfrage nach einem App-Update im Zusammenhang mit beliebten Softwareprodukten auf dem asiatischen Markt wie QQ, Wanga Wang oder WeChat beobachtet wird, ersetzen die LuoYu-Hacker sie durch die Installationsprogramme für die WInDealer-Malware.

Nach der Ausführung auf dem Windows-System des Opfers ermöglicht WinDealer den Angreifern, eine breite Palette von aufdringlichen und böswilligen Aktionen durchzuführen. Eine der Hauptfunktionen der Bedrohung bezieht sich auf das Sammeln und anschließende Exfiltrieren vertraulicher und sensibler Daten. Die Hacker können sich jedoch auch darauf verlassen, dass WinDealer spezialisiertere Backdoor-Bedrohungen installiert, um deren Persistenz auf dem Gerät zu gewährleisten. WinDealer kann das Dateisystem manipulieren, nach zusätzlichen Geräten suchen, die mit demselben Netzwerk verbunden sind, oder beliebige Befehle ausführen.

Ein besonderes Merkmal der Bedrohung ist die Art und Weise, wie sie mit ihrem Command-and-Control-Server (C2, C&C) kommuniziert. Anstatt einen fest programmierten C2-Server zu verwenden, haben die LuoYu-Cyberkriminellen einen Pool von 48.000 IP-Adressen aus den chinesischen Provinzen Xizang und Guizhou erstellt. Die Bedrohung verbindet sich mit einer zufälligen ChinaNET (AS4134) IP-Adresse aus diesem Pool. Die Cybersicherheitsforscher von Kaspersky, die die Details über LuoYu und WinDealer veröffentlicht haben, glauben, dass die Hacker in der Lage sind, eine solche Technik anzuwenden, da sie Zugriff auf kompromittierte Router innerhalb von AS4134 haben oder Strafverfolgungstools auf ISP-Ebene verwenden. Eine andere Möglichkeit besteht darin, dass die Bedrohungsakteure über interne Methoden verfügen, die der breiten Öffentlichkeit noch unbekannt sind.