WinDealer

あまり知られていない中国語を話すサイバー犯罪グループが、情報を盗むマルウェアを侵害されたデバイスに展開する攻撃操作を実行しています。 LuoYuグループのハッカーは、正当なアプリの更新を傍受し、マンオンザサイド攻撃と呼ばれる悪意のあるペイロードに切り替えます。感染を成功させるために、攻撃者は選択した被害者のネットワークトラフィックを積極的に監視します。 QQ、Wanga Wang、WeChatなど、アジア市場で人気のあるソフトウェア製品に関連するアプリのアップデートのリクエストが見つかった場合、LuoYuハッカーはそれらをWINDealerマルウェアのインストーラーに置き換えます。

WinDealerは、被害者のWindowsシステムで実行されると、攻撃者がさまざまな侵入的で悪意のあるアクションを実行できるようにします。脅威の主な機能の1つは、機密データの収集とその後の漏洩に関連しています。ただし、ハッカーはWinDealerを利用して、デバイスでの永続性を保証するために、より特殊なバックドアの脅威をインストールすることもできます。 WinDealerは、ファイルシステムを操作したり、同じネットワークに接続されている追加のデバイスをスキャンしたり、任意のコマンドを実行したりできます。

この脅威の特徴の1つは、コマンドアンドコントロール（C2、C＆C）サーバーとの通信方法です。 LuoYuサイバー犯罪者は、ハードコードされたC2サーバーを使用する代わりに、中国のXizang州とGuizhou州から48,000のIPアドレスのプールを作成しました。脅威は、そのプールの中からランダムなChinaNET（AS4134）IPアドレスに接続します。 LuoYuとWinDealerの詳細を公開したKasperskyのサイバーセキュリティ研究者は、AS4134内の侵害ルーターにアクセスできるか、ISPレベルの法執行ツールを利用することで、ハッカーがこのような手法を使用できると考えています。もう1つの可能性は、脅威アクターがまだ一般の人々には知られていない内部メソッドを持っていることです。