{"id":19555,"date":"2022-06-14T11:25:39","date_gmt":"2022-06-14T14:25:39","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=19555"},"modified":"2022-06-14T11:25:39","modified_gmt":"2022-06-14T14:25:39","slug":"windealer-man-on-the-side","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/windealer-man-on-the-side\/19555\/","title":{"rendered":"WinDealer: spyware com um mecanismo de entrega bem peculiar"},"content":{"rendered":"

Os especialistas da Kaspersky estudaram<\/a> o malware WinDealer, criado pelo grupo LuoYu APT. A descoberta mais interessante \u00e9 que os invasores aparentemente dominaram o m\u00e9todo de ataque man-on-the-side e o est\u00e3o usando com sucesso tanto para distribuir malware quanto para controlar computadores j\u00e1 infectados.<\/p>\n

O que \u00e9 o ataque man-on-the-side e como os operadores do WinDealer o utilizam?<\/h2>\n

Um ataque man-on-the-side \u00e9 definido quando um invasor, de alguma forma, controla o canal de comunica\u00e7\u00e3o, o que lhe permite ler o tr\u00e1fego e injetar mensagens arbitr\u00e1rias na troca normal de dados.<\/p>\n

Eis um exemplo: os invasores interceptam uma solicita\u00e7\u00e3o de atualiza\u00e7\u00e3o de um software completamente leg\u00edtimo e trocam o arquivo de atualiza\u00e7\u00e3o por um infectado. Aparentemente, \u00e9 assim que o WinDealer \u00e9 distribu\u00eddo.<\/p>\n

Um truque semelhante \u00e9 usado por invasores para emitir comandos para o malware em um computador infectado. Para dificultar o trabalho dos pesquisadores de seguran\u00e7a em encontrar o servidor C&C, o malware n\u00e3o cont\u00e9m seu endere\u00e7o exato. Em vez disso, ele tenta acessar um endere\u00e7o IP aleat\u00f3rio de um intervalo predefinido. Os invasores interceptam a solicita\u00e7\u00e3o e respondem a ela. Em alguns casos, o WinDealer tenta acessar um endere\u00e7o que nem existe, mas gra\u00e7as ao m\u00e9todo man-on-the-side, ele ainda recebe uma resposta.<\/p>\n

De acordo com nossos especialistas, para usar esse truque com sucesso, os invasores precisam de acesso constante aos roteadores de toda a sub-rede ou a algumas ferramentas avan\u00e7adas no n\u00edvel do provedor de Internet.<\/p>\n

Quem s\u00e3o os alvos do WinDealer?<\/h2>\n

A grande maioria dos alvos da WinDealer est\u00e3o localizados na China: s\u00e3o organiza\u00e7\u00f5es diplom\u00e1ticas estrangeiras, membros da comunidade acad\u00eamica ou empresas envolvidas nos neg\u00f3cios de defesa, log\u00edstica ou telecomunica\u00e7\u00f5es. No entanto, \u00e0s vezes o grupo LuoYu APT tamb\u00e9m infecta alvos em outros pa\u00edses: \u00c1ustria, Rep\u00fablica Tcheca, Alemanha, \u00cdndia, R\u00fassia e Estados Unidos. Nos \u00faltimos meses, eles tamb\u00e9m se interessaram mais por outros pa\u00edses do Leste Asi\u00e1tico e seus escrit\u00f3rios localizados na China.<\/p>\n

Do que o WinDelaer \u00e9 capaz<\/h2>\n

Uma an\u00e1lise t\u00e9cnica detalhada do malware em si e de seu mecanismo de entrega pode ser encontrada em uma postagem no blog Securelist<\/a>. Resumindo, o WinDealer tem a funcionalidade de um spyware dos dias de hoje. Pode:<\/p>\n