Los piratas informáticos chinos LuoYu implementan malware de ciber espionaje a través de actualizaciones de aplicaciones

Un grupo de piratas informáticos de habla china conocido como LuoYu está infectando a las víctimas con el malware de ladrón de información WinDealer implementado al cambiar las actualizaciones legítimas de la aplicación con cargas maliciosas en ataques de tipo man-on-the-side.

Para hacer eso, los actores de amenazas monitorean activamente el tráfico de red de sus objetivos en busca de solicitudes de actualización de aplicaciones vinculadas a aplicaciones asiáticas populares como QQ, WeChat y WangWang y las reemplazan con instaladores de WinDealer.

Una vez implementado, WinDealer ayuda a los atacantes a buscar y desviar grandes cantidades de datos de sistemas Windows comprometidos, instalar puertas traseras para mantener la persistencia, manipular archivos, buscar otros dispositivos en la red y ejecutar comandos arbitrarios.

En lugar de usar la información del servidor de comando y control (C2) codificada de forma rígida, WinDealer se conectará a una dirección IP aleatoria de ChinaNet (AS4134) de las provincias de Xizang y Guizhou de un grupo de 48,000 direcciones IP, según investigadores de seguridad. en Kaspersky que observó este nuevo método de entrega.

Dado que es probable que controlar la totalidad de estos rangos de IP sea imposible, las explicaciones de cómo LuoYu es capaz de hacerlo incluyen el uso de enrutadores comprometidos "en la ruta hacia (o dentro) de AS4134", el uso de herramientas de aplicación de la ley a nivel de ISP, o " métodos de inteligencia de señales desconocidos para el público en general".

WinDealer_infection_flow

LuoYu ha pasado a abusar del mecanismo de actualización automática de las aplicaciones de sus víctimas después de haber introducido malware en ataques abrevadero más fáciles de realizar en los que usarían sitios de noticias locales comprometidos como vectores de infección.

"Los ataques de hombre al costado son extremadamente destructivos, ya que la única condición necesaria para atacar un dispositivo es que esté conectado a Internet. Incluso si el ataque falla la primera vez, los atacantes pueden repetir el proceso una y otra vez. nuevamente hasta que tengan éxito", explicó  Suguru Ishimaru, investigador sénior de seguridad de Kaspersky.

"No importa cómo se haya llevado a cabo el ataque, la única manera de que las posibles víctimas se defiendan es mantenerse extremadamente alerta y contar con procedimientos de seguridad sólidos, como escaneos antivirus regulares, análisis del tráfico de red saliente y registro extenso para detectar anomalías".

Dirigiéndose a organizaciones coreanas y japonesas  desde al menos 2014 , LuoYu también es conocido por atacar a organizaciones diplomáticas extranjeras en China, la comunidad académica y organizaciones de múltiples sectores industriales, incluidas la defensa y las telecomunicaciones.

WinDealer_targets

El Equipo de análisis e investigación global de Kaspersky (GReAT) también ha detectado infecciones ocasionales en otros países como Alemania, Austria, Estados Unidos, República Checa, Rusia e India.

Recientemente, LuoYu también comenzó a perseguir empresas en el este de Asia y sucursales ubicadas en China.

Además de apuntar a dispositivos Windows usando WinDealer, este grupo de hackers menos conocido ha sido observado previamente atacando dispositivos macOS, Linux y Android con malware Demsty (ReverseWindow) y SpyDealer.

"LuoYu es un actor de amenazas extremadamente sofisticado capaz de aprovechar la funcionalidad disponible solo para los atacantes más maduros. Solo podemos especular sobre cómo pudieron desarrollar tales capacidades", agregó Ishimaru.

 

Fuente: Bleepingcomputer.

Comments are closed.

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies