{"id":24893,"date":"2022-06-14T09:50:09","date_gmt":"2022-06-14T15:50:09","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=24893"},"modified":"2022-06-14T09:50:09","modified_gmt":"2022-06-14T15:50:09","slug":"windealer-man-on-the-side","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/windealer-man-on-the-side\/24893\/","title":{"rendered":"WinDealer: un spyware peculiar"},"content":{"rendered":"

Los analistas de Kaspersky han estudiado<\/a> el malware<\/em> WinDealer creado por la APT del grupo LuoYu. Lo m\u00e1s destaca de dicha investigaci\u00f3n es que, al parecer, los atacantes han perfeccionado el m\u00e9todo de ataque man-on-the-side<\/em>, el cual usan para enviar malware<\/em> y controlar computadoras ya infectadas.<\/p>\n

\u00bfQu\u00e9 es un ataque man-on-the-side<\/em> y c\u00f3mo es usado por los operadores de WinDealer?<\/strong><\/h2>\n

El ataque man-on-the-side<\/em> se caracteriza porque el atacante tiene el control del canal de comunicaci\u00f3n, lo que le permite leer el tr\u00e1fico e insertar mensajes aleatorios en un intercambio normal de datos.<\/p>\n

Para entender c\u00f3mo se distribuye WinDealer te ponemos un ejemplo: los atacantes intervienen en una solicitud de actualizaci\u00f3n de un software<\/em> completamente leg\u00edtimo y cambian el archivo original de actualizaci\u00f3n por uno alterado.<\/p>\n

Para emitir comandos al malware<\/em> de una computadora infectada, los atacantes utilizan un truco similar. Este malware<\/em> no contiene una direcci\u00f3n exacta, con el objetivo de que los investigadores de seguridad encuentren con m\u00e1s dificultad el servidor de comando y control. En su lugar, intenta acceder a una direcci\u00f3n IP aleatoria de un rango predefinido. Los atacantes interceptan entonces la solicitud y responden a ella. En algunos casos, WinDealer intenta acceder a una direcci\u00f3n que no existe, pero gracias al m\u00e9todo man-on-the-side<\/em>, contin\u00faa recibiendo respuesta.<\/p>\n

De acuerdo con nuestros expertos, los atacantes necesitan tener acceso a los routers <\/em>de toda la subred, o a algunas herramientas avanzadas del proveedor del servicio de Internet, para que esto funcione.<\/p>\n

\u00bfQui\u00e9nes son los objetivos de WinDealer?<\/strong><\/h2>\n

Los objetivos mayoritarios de WinDealer est\u00e1n en China: organizaciones diplom\u00e1ticas extranjeras, miembros de la comunidad educativa o empresas relacionadas con el mundo de la defensa, la log\u00edstica o las telecomunicaciones. De manera m\u00e1s puntual, la APT del grupo LuoYu tiene objetivos tambi\u00e9n en otros pa\u00edses: Alemania, Austria, Estados Unidos, India, Rep\u00fablica Checa y Rusia. En meses recientes, su inter\u00e9s por pa\u00edses de Asia oriental y sus respectivas sedes en China ha ido en aumento.<\/p>\n

\u00bfQu\u00e9 puede hacer WinDealer?<\/strong><\/h2>\n

En este post del blog de Securelist<\/a> encontrar\u00e1s un an\u00e1lisis t\u00e9cnico detallado tanto del malware<\/em>, como de su \u201cmecanismo\u201d de distribuci\u00f3n. En resumen, podemos decir que WinDealer funciona como un spyware <\/em>moderno y tienes las siguientes capacidades:<\/p>\n