WinDealer: un spyware peculiar

Nuestros expertos analizaron el malware WinDealer creado por la APT del grupo LuoYu.

Los analistas de Kaspersky han estudiado el malware WinDealer creado por la APT del grupo LuoYu. Lo más destaca de dicha investigación es que, al parecer, los atacantes han perfeccionado el método de ataque man-on-the-side, el cual usan para enviar malware y controlar computadoras ya infectadas.

¿Qué es un ataque man-on-the-side y cómo es usado por los operadores de WinDealer?

El ataque man-on-the-side se caracteriza porque el atacante tiene el control del canal de comunicación, lo que le permite leer el tráfico e insertar mensajes aleatorios en un intercambio normal de datos.

Para entender cómo se distribuye WinDealer te ponemos un ejemplo: los atacantes intervienen en una solicitud de actualización de un software completamente legítimo y cambian el archivo original de actualización por uno alterado.

Para emitir comandos al malware de una computadora infectada, los atacantes utilizan un truco similar. Este malware no contiene una dirección exacta, con el objetivo de que los investigadores de seguridad encuentren con más dificultad el servidor de comando y control. En su lugar, intenta acceder a una dirección IP aleatoria de un rango predefinido. Los atacantes interceptan entonces la solicitud y responden a ella. En algunos casos, WinDealer intenta acceder a una dirección que no existe, pero gracias al método man-on-the-side, continúa recibiendo respuesta.

De acuerdo con nuestros expertos, los atacantes necesitan tener acceso a los routers de toda la subred, o a algunas herramientas avanzadas del proveedor del servicio de Internet, para que esto funcione.

¿Quiénes son los objetivos de WinDealer?

Los objetivos mayoritarios de WinDealer están en China: organizaciones diplomáticas extranjeras, miembros de la comunidad educativa o empresas relacionadas con el mundo de la defensa, la logística o las telecomunicaciones. De manera más puntual, la APT del grupo LuoYu tiene objetivos también en otros países: Alemania, Austria, Estados Unidos, India, República Checa y Rusia. En meses recientes, su interés por países de Asia oriental y sus respectivas sedes en China ha ido en aumento.

¿Qué puede hacer WinDealer?

En este post del blog de Securelist encontrarás un análisis técnico detallado tanto del malware, como de su “mecanismo” de distribución. En resumen, podemos decir que WinDealer funciona como un spyware moderno y tienes las siguientes capacidades:

  • Manipular archivos y el propio sistema de archivos (abrir, editar y borrar, recoger datos sobre directorios y discos).
  • Recabar información sobre el hardware, la configuración de red, los procesos, la configuración del teclado y las aplicaciones instaladas.
  • Cargar y descargar archivos arbitrarios.
  • Ejecutar comandos arbitrarios.
  • Buscar en archivos de texto y documentos de MS Office.
  • Tomar capturas de pantalla.
  • Analizar la red local.
  • Apoyar la función de un backdoor.
  • Recoger datos sobre las redes wifi disponibles (nuestros expertos descubrieron que por lo menos una de las tantas variantes del malware es capaz de hacerlo).

Cómo mantenerte a salvo

Por desgracia, a nivel de red, es muy difícil protegerse de un ataque man-on-the-side“. Teóricamente, una conexión VPN constante puede ayudar, pero esa opción no siempre es posible. Por ende, para evitar caer en las manos del spyware, es necesario que cada dispositivo con acceso a Internet tenga una solución de seguridad fiable. Además, las soluciones tipo EDR pueden ayudar a detectar anomalías y detener un ataque desde fases tempranas.

Amenazas conocida, desconocidas y avanzadas

 

Consejos