Overslaan naar hoofdinhoud
02 juni 2022

WinDealer-malware toont zeer geavanceerde netwerkcapaciteiten

Malware met de naam WinDealer heeft de mogelijkheid om netwerkverkeer binnen te dringen via een man-on-the-side aanval, dit ontdekten Kaspersky-onderzoekers. De malware wordt verspreid door de Chinees sprekende Advanced Persistent Threat (APT)-actor LuoYu. Deze baanbrekende ontwikkeling stelt de cybercrimineel in staat om netwerkverkeer in-transit aan te passen en kwaadaardige payloads in te voegen. Dergelijke aanvallen zijn bijzonder gevaarlijk en schadelijk, omdat ze geen interactie met het doel vereisen om tot een succesvolle infectie te leiden.

Naar aanleiding van de bevindingen van TeamT5 hebben Kaspersky-onderzoekers een nieuwe distributiemethode ontdekt die door exploitanten wordt toegepast om de WinDealer-malware te verspreiden. Meer specifiek gebruikten ze een man-on-the-side-aanval om verkeer te lezen en nieuwe berichten in te voegen.

Het algemene concept van een man-on-the-side-aanval is dat wanneer de aanvaller een verzoek om een specifieke bron op het netwerk ziet (door zijn onderscheppingsmogelijkheden of strategische positie op het netwerk van de ISP), hij het slachtoffer sneller probeert te antwoorden dan de legitieme server. Als de aanvaller de "race" wint, zal de computer vervolgens de door de aanvaller geleverde gegevens gebruiken in plaats van de normale gegevens. Zelfs als de aanvallers de meeste "races" niet winnen, kunnen ze het opnieuw proberen tot ze slagen, zodat ze uiteindelijk gegarandeerd de meeste apparaten zullen infecteren.

Na een aanval ontvangt de computer een spywaretoepassing die een indrukwekkende hoeveelheid informatie kan verzamelen. De aanvallers kunnen alle bestanden die op het apparaat zijn opgeslagen, bekijken en downloaden en alle documenten doorzoeken op trefwoorden. Over het algemeen richt LuoYu zich op buitenlandse diplomatieke organisaties die in China zijn gevestigd en op leden van de academische gemeenschap, maar ook op defensie-, logistieke en telecombedrijven. De actor gebruikt WinDealer om Windows-apparaten aan te vallen

Gewoonlijk bevat malware een hardgecodeerde Command and Control-server van waaruit de kwaadwillende het hele systeem bestuurt. Met informatie over deze server is het mogelijk om het IP-adres van de machines waarmee de malware communiceert te blokkeren, waardoor de dreiging geneutraliseerd wordt. WinDealer vertrouwt echter op een complex IP-generator algoritme om te bepalen met welke machine contact moet worden opgenomen. Dit omvat een reeks van 48.000 IP-adressen, waardoor het voor de operator bijna onmogelijk is om zelfs maar een klein deel van de adressen te controleren. De enige manier om dit schijnbaar onmogelijke netwerkgedrag te verklaren is door te veronderstellen dat de aanvallers over aanzienlijke onderscheppingsmogelijkheden beschikken binnen dit IP-bereik en zelfs netwerkpakketten kunnen lezen die geen bestemming bereiken.

De man-on-the-side-aanval is met name schadelijk omdat er geen interactie met het doelwit nodig is om tot een succesvolle infectie te leiden: een apparaat hebben dat met het internet is verbonden is al voldoende. Bovendien kunnen gebruikers niets doen om zich te beschermen, afgezien van het omleiden van verkeer via een ander netwerk. Dit kan worden gedaan met een VPN, maar dit is, afhankelijk van het gebied, wellicht geen optie, en zou doorgaans niet beschikbaar zijn voor Chinese burgers.

De overgrote meerderheid van de LuoYu-slachtoffers bevindt zich in China, dus Kaspersky-experts denken dat de LuoYu APT zich voornamelijk richt op Chineestalige slachtoffers en organisaties die gerelateerd zijn aan China. Kaspersky-onderzoekers hebben echter ook aanvallen opgemerkt in andere landen, zoals Duitsland, Oostenrijk, de Verenigde Staten, Tsjechië, Rusland en India.

Geografische spreiding van WinDealer-aanvallen

Suguru Ishimaru, Senior Security Researcher bij Kaspersky's Global Research and Analysis Team (GReAT): "LuoYu is een uiterst geraffineerde dreigingsactor die in staat is om gebruik te maken van functionaliteiten die alleen beschikbaar zijn voor de meest volwassen aanvallers. We kunnen alleen maar speculeren over de vraag hoe ze dergelijke capaciteiten hebben kunnen ontwikkelen. Man-on-the-side-aanvallen zijn uiterst destructief omdat de enige voorwaarde om een apparaat aan te vallen is dat het met internet is verbonden. Zelfs als de aanval de eerste keer mislukt, kunnen aanvallers het proces steeds herhalen tot ze slagen. Op die manier kunnen zij uiterst gevaarlijke en succesvolle spionageaanvallen uitvoeren op hun slachtoffers, onder wie doorgaans diplomaten, wetenschappers en werknemers van andere belangrijke sectoren. Hoe de aanval ook is uitgevoerd, de enige manier voor potentiële slachtoffers om zich te verdedigen is uiterst waakzaam te blijven en te beschikken over robuuste securityprocedures, zoals regelmatige antivirusscans, analyse van uitgaand netwerkverkeer en uitgebreide logging om onregelmatigheden op te sporen.”

WinDealer-malware toont zeer geavanceerde netwerkcapaciteiten

Malware met de naam WinDealer heeft de mogelijkheid om netwerkverkeer binnen te dringen via een man-on-the-side aanval, dit ontdekten Kaspersky-onderzoekers. De malware wordt verspreid door de Chinees sprekende Advanced Persistent Threat (APT)-actor LuoYu. Deze baanbrekende ontwikkeling stelt de cybercrimineel in staat om netwerkverkeer in-transit aan te passen en kwaadaardige payloads in te voegen. Dergelijke aanvallen zijn bijzonder gevaarlijk en schadelijk, omdat ze geen interactie met het doel vereisen om tot een succesvolle infectie te leiden.
Kaspersky Logo

Verwant artikel Spamnieuws

  • OnionPoison: geïnfecteerd Tor Browser-installatieprogramma verspreidt zich via populair YouTube-kanaal

    Onlangs ontdekten onderzoekers van Kaspersky een lopende kwaadaardige campagne die wordt verspreid via een YouTube-kanaal met meer dan 180.000 abonnees. Cybercriminelen verspreiden malware om persoonlijke gegevens van gebruikers te verzamelen en volledige controle over de computer van het slachtoffer te krijgen. Dit doen de cybercriminelen door in de beschrijving van een video over het darknet een link naar een geïnfecteerde versie van Tor Browser te plaatsen.
    Lees meer >

  • Beruchte Prilex-dreigingsactor verkoopt wereldwijd nieuwe gevaarlijke en geavanceerde PoS-malware

    De Prilex-dreigingsgroep, bekend om het stelen van miljoenen dollars van banken, heeft een aanzienlijke ontwikkeling doorgemaakt. Dit ontdekten onderzoekers van Kaspersky. Prilex heeft zijn tools opgewaardeerd van een eenvoudige geheugenschraper tot een geavanceerde en complexe malware. Deze is nu gericht op modulaire Point of Sales (PoS)-terminals. Cybercriminelen verkopen hun malware ook actief op het darknet als Malware-as-a-Service, waardoor deze nu beschikbaar is voor andere fraudeurs en het risico voor bedrijven wereldwijd toeneemt om geld te verliezen.
    Lees meer >

  • Nieuwe actieve campagne NullMixer jaagt op betaalgegevens, cryptocurrencies en sociale netwerkaccounts van gebruikers

    Onderzoekers van Kaspersky hebben een nieuwe campagne ontdekt die malware NullMixer verspreidt die informatie zoals adres- en creditcardgegevens, maar ook cryptocurrencies en zelfs Facebook- en Amazon-accounts van gebruikers steelt. Bij een poging om gekraakte software te downloaden van sites van derden, werden meer dan 47.500 gebruikers aangevallen met NullMixer, dat in staat is om gebruikers te bespioneren en alle informatie vast te leggen die ze op het toetsenbord invoeren. In Nederland waren 186 gebruikers het slachtoffer van de malware.
    Lees meer >