APT
Os especialistas da Kaspersky estudaram o malware WinDealer, criado pelo grupo LuoYu APT. A descoberta mais interessante é que os invasores aparentemente dominaram o método de ataque man-on-the-side e o estão usando com sucesso tanto para distribuir malware quanto para controlar computadores já infectados.
O que é o ataque man-on-the-side e como os operadores do WinDealer o utilizam?
Um ataque man-on-the-side é definido quando um invasor, de alguma forma, controla o canal de comunicação, o que lhe permite ler o tráfego e injetar mensagens arbitrárias na troca normal de dados.
Eis um exemplo: os invasores interceptam uma solicitação de atualização de um software completamente legítimo e trocam o arquivo de atualização por um infectado. Aparentemente, é assim que o WinDealer é distribuído.
Um truque semelhante é usado por invasores para emitir comandos para o malware em um computador infectado. Para dificultar o trabalho dos pesquisadores de segurança em encontrar o servidor C&C, o malware não contém seu endereço exato. Em vez disso, ele tenta acessar um endereço IP aleatório de um intervalo predefinido. Os invasores interceptam a solicitação e respondem a ela. Em alguns casos, o WinDealer tenta acessar um endereço que nem existe, mas graças ao método man-on-the-side, ele ainda recebe uma resposta.
De acordo com nossos especialistas, para usar esse truque com sucesso, os invasores precisam de acesso constante aos roteadores de toda a sub-rede ou a algumas ferramentas avançadas no nível do provedor de Internet.
Quem são os alvos do WinDealer?
A grande maioria dos alvos da WinDealer estão localizados na China: são organizações diplomáticas estrangeiras, membros da comunidade acadêmica ou empresas envolvidas nos negócios de defesa, logística ou telecomunicações. No entanto, às vezes o grupo LuoYu APT também infecta alvos em outros países: Áustria, República Tcheca, Alemanha, Índia, Rússia e Estados Unidos. Nos últimos meses, eles também se interessaram mais por outros países do Leste Asiático e seus escritórios localizados na China.
Do que o WinDelaer é capaz
Uma análise técnica detalhada do malware em si e de seu mecanismo de entrega pode ser encontrada em uma postagem no blog Securelist. Resumindo, o WinDealer tem a funcionalidade de um spyware dos dias de hoje. Pode:
- Manipular arquivos e arquivos de sistema (abrir, subscrever e deletar arquivos, coletar dados sobre diretórios e discos);
- Coletar informações sobre hardware, configurações de rede, processos, layout de teclado, aplicativos instalados;
- Download e upload de arquivos arbitrários;
- Executar comandos arbitrários;
- Buscar através de textos e documentos do MS Office;
- Tirar capturas de tela;
- Escanear a rede local;
- Dar suporte à função de backdoor;
- Coletar dados sobre redes Wi-Fi disponíveis (pelo menos uma das variantes de malware encontradas por nossos especialistas é capaz de fazê-lo).
Como se manter protegido
Infelizmente, os ataques man-on-the-side são extremamente difíceis de proteger no nível da rede. Na teoria, uma conexão VPN constante pode ajudar, mas isso nem sempre é uma possibilidade. Portanto, para excluir a infecção por spyware, é necessário fornecer a todos os dispositivos que tenham acesso à Internet uma solução de segurança confiável. Além disso, as soluções EDR podem ajudar a detectar anomalias e interromper um ataque em um estágio inicial.
Dicas