WinDealer: spyware com um mecanismo de entrega bem peculiar

Nossos especialistas estudaram o malware WinDealer, criado pelo grupo LuoYu APT.

Os especialistas da Kaspersky estudaram o malware WinDealer, criado pelo grupo LuoYu APT. A descoberta mais interessante é que os invasores aparentemente dominaram o método de ataque man-on-the-side e o estão usando com sucesso tanto para distribuir malware quanto para controlar computadores já infectados.

O que é o ataque man-on-the-side e como os operadores do WinDealer o utilizam?

Um ataque man-on-the-side é definido quando um invasor, de alguma forma, controla o canal de comunicação, o que lhe permite ler o tráfego e injetar mensagens arbitrárias na troca normal de dados.

Eis um exemplo: os invasores interceptam uma solicitação de atualização de um software completamente legítimo e trocam o arquivo de atualização por um infectado. Aparentemente, é assim que o WinDealer é distribuído.

Um truque semelhante é usado por invasores para emitir comandos para o malware em um computador infectado. Para dificultar o trabalho dos pesquisadores de segurança em encontrar o servidor C&C, o malware não contém seu endereço exato. Em vez disso, ele tenta acessar um endereço IP aleatório de um intervalo predefinido. Os invasores interceptam a solicitação e respondem a ela. Em alguns casos, o WinDealer tenta acessar um endereço que nem existe, mas graças ao método man-on-the-side, ele ainda recebe uma resposta.

De acordo com nossos especialistas, para usar esse truque com sucesso, os invasores precisam de acesso constante aos roteadores de toda a sub-rede ou a algumas ferramentas avançadas no nível do provedor de Internet.

Quem são os alvos do WinDealer?

A grande maioria dos alvos da WinDealer estão localizados na China: são organizações diplomáticas estrangeiras, membros da comunidade acadêmica ou empresas envolvidas nos negócios de defesa, logística ou telecomunicações. No entanto, às vezes o grupo LuoYu APT também infecta alvos em outros países: Áustria, República Tcheca, Alemanha, Índia, Rússia e Estados Unidos. Nos últimos meses, eles também se interessaram mais por outros países do Leste Asiático e seus escritórios localizados na China.

Do que o WinDelaer é capaz

Uma análise técnica detalhada do malware em si e de seu mecanismo de entrega pode ser encontrada em uma postagem no blog Securelist. Resumindo, o WinDealer tem a funcionalidade de um spyware dos dias de hoje. Pode:

  • Manipular arquivos e arquivos de sistema (abrir, subscrever e deletar arquivos, coletar dados sobre diretórios e discos);
  • Coletar informações sobre hardware, configurações de rede, processos, layout de teclado, aplicativos instalados;
  • Download e upload de arquivos arbitrários;
  • Executar comandos arbitrários;
  • Buscar através de textos e documentos do MS Office;
  • Tirar capturas de tela;
  • Escanear a rede local;
  • Dar suporte à função de backdoor;
  • Coletar dados sobre redes Wi-Fi disponíveis (pelo menos uma das variantes de malware encontradas por nossos especialistas é capaz de fazê-lo).

Como se manter protegido

Infelizmente, os ataques man-on-the-side são extremamente difíceis de proteger no nível da rede. Na teoria, uma conexão VPN constante pode ajudar, mas isso nem sempre é uma possibilidade. Portanto, para excluir a infecção por spyware, é necessário fornecer a todos os dispositivos que tenham acesso à Internet uma solução de segurança confiável. Além disso, as soluções EDR podem ajudar a detectar anomalias e interromper um ataque em um estágio inicial.

Ameaças avançadas, identicadas ou não

Dicas