Licences multi-appareils (remises sur volume)
Threat Database Advanced Persistent Threat (APT) WinDealer

WinDealer

Par Mezo en Advanced Persistent Threat (APT), Stealers
Se traduisent par :
Français

Un groupe cybercriminel chinois moins connu mène des opérations d'attaque qui déploient un logiciel malveillant voleur d'informations sur les appareils piratés. Les pirates du groupe LuoYu interceptent les mises à jour des applications légitimes et les remplacent par des charges utiles malveillantes dans ce que l'on appelle des attaques de type "man-on-the-side". Pour que l'infection réussisse, les acteurs de la menace surveillent activement le trafic réseau de leurs victimes choisies. Lorsqu'une demande de mise à jour d'application liée à des produits logiciels populaires sur le marché asiatique tels que QQ, Wanga Wang ou WeChat est observée, les pirates LuoYu les remplacent par les installateurs du malware WInDealer.

Une fois exécuté sur le système Windows de la victime, WinDealer permettra aux attaquants d'effectuer un large éventail d'actions intrusives et malveillantes. L'une des principales fonctionnalités de la menace est liée à la collecte et à l'exfiltration ultérieure de données confidentielles et sensibles. Cependant, les pirates peuvent également compter sur WinDealer pour installer des menaces de porte dérobée plus spécialisées afin de garantir leur persistance sur l'appareil. WinDealer peut manipuler le système de fichiers, rechercher des périphériques supplémentaires connectés au même réseau ou exécuter des commandes arbitraires.

Une caractéristique particulière de la menace est la façon dont elle communique avec son serveur de commande et de contrôle (C2, C&C). Au lieu d'utiliser un serveur C2 codé en dur, les cybercriminels LuoYu ont créé un pool de 48 000 adresses IP des provinces chinoises de Xizang et de Guizhou. La menace se connectera à une adresse IP ChinaNET (AS4134) aléatoire parmi ce pool. Les chercheurs en cybersécurité de Kaspersky qui ont publié les détails sur LuoYu et WinDealer pensent que les pirates sont capables d'utiliser une telle technique grâce à l'accès aux routeurs compromis à l'intérieur de l'AS4134 ou en utilisant des outils d'application de la loi au niveau du FAI. Une autre possibilité est que les acteurs de la menace disposent de méthodes internes encore inconnues du grand public.

Tendance

Le plus regardé

Chargement...