WinDealer

Un grupo de ciberdelincuentes de habla china menos conocido está llevando a cabo operaciones de ataque que implementan un malware que roba información en los dispositivos violados. Los piratas informáticos del grupo LuoYu interceptan las actualizaciones de aplicaciones legítimas y las intercambian con cargas útiles maliciosas en lo que se conoce como ataques man-on-the-side. Para que la infección tenga éxito, los actores de amenazas monitorean activamente el tráfico de red de sus víctimas elegidas. Cuando se observa una solicitud de actualización de una aplicación relacionada con productos de software populares en el mercado asiático, como QQ, Wanga Wang o WeChat, los piratas informáticos de LuoYu los sustituyen por los instaladores del malware WInDealer.

Al ejecutarse en el sistema Windows de la víctima, WinDealer permitirá a los atacantes realizar una amplia gama de acciones intrusivas y maliciosas. Una de las funcionalidades principales de la amenaza está relacionada con la recolección y posterior exfiltración de datos confidenciales y sensibles. Sin embargo, los piratas informáticos también pueden confiar en WinDealer para instalar amenazas de puerta trasera más especializadas para garantizar su persistencia en el dispositivo. WinDealer puede manipular el sistema de archivos, buscar dispositivos adicionales conectados a la misma red o ejecutar comandos arbitrarios.

Una característica peculiar de la amenaza es la forma en que se comunica con su servidor de comando y control (C2, C&C). En lugar de utilizar un servidor C2 codificado, los ciberdelincuentes de LuoYu han creado un grupo de 48 000 direcciones IP de las provincias chinas de Xizang y Guizhou. La amenaza se conectará a una dirección IP aleatoria de ChinaNET (AS4134) de ese grupo. Los investigadores de seguridad cibernética de Kaspersky que dieron a conocer los detalles sobre LuoYu y WinDealer creen que los piratas informáticos son capaces de utilizar dicha técnica gracias al acceso a enrutadores comprometidos dentro de AS4134 o al utilizar herramientas de aplicación de la ley a nivel de ISP. Otra posibilidad es que los actores de amenazas tengan métodos internos que aún son desconocidos para el público en general.

Tendencias

Mas Visto

Cargando...