WinDealer: Spyware mit besonderem Bereitstellungsmechanismus

Unsere Experten haben die Malware WinDealer der APT-Gruppe LuoYu untersucht.

Unsere Experten haben die Malware WinDealer der APT-Gruppe LuoYu untersucht.

Kaspersky-Forscher haben entdeckt, dass die Malware WinDealer vom APT-Akteur LuoYu über Man-on-the-Side-Angriffe verbreitet wird. Dabei nutzen Angreifer diese Methode, um Malware zu verbreiten und die Kontrolle über bereits infizierte Computer zu übernehmen.

Was ist ein Man-on-the-Side-Angriff und wie setzen die Angreifer hinter WinDealer diesen ein?

Man-on-the-Side-Angriffe implizieren die Kontrolle des Kommunikationskanals; Angreifern wird auf diese Weise ermöglicht, den Datenverkehr mitzulesen und beliebige Nachrichten in den normalen Datenaustausch einzufügen.

Hier ein Beispiel: Angreifer fangen eine Update-Anfrage von einer völlig legitimen Software ab und tauschen die Update-Datei gegen eine infizierte Datei aus.

Eine ähnliche Methode wird von Angreifern eingesetzt, um der Malware auf einem infizierten Computer bestimmte Befehle zu erteilen. Um es Sicherheitsforschern zu erschweren, den C&C-Server ausfindig zu machen, greift die Malware auf eine zufällige IP-Adresse aus einem vordefinierten Bereich zu. Angreifer können die Anfrage so abgreifen und beantworten. In einigen Fällen versucht WinDealer, auf eine Adresse zuzugreifen, die gar nicht existiert, erhält dank der Man-on-the-Side-Methode aber dennoch eine Antwort.

Unseren Experten zufolge benötigen Angreifer für eine erfolgreiche Ausführung dieser Methode ständigen Zugriff auf die Router des gesamten Subnetzes oder auf fortschrittliche Tools auf Anbieter-Ebene.

Auf wen zielt WinDealer ab?

Die überwiegende Mehrheit der LuoYu-Opfer befindet sich in China. Dabei handelt es sich überwiegend um ausländische diplomatische Organisationen, akademische Einrichtungen oder Unternehmen, die in der Verteidigungs-, Logistik- oder Telekommunikationsbranche tätig sind. Unsere Experten haben jedoch auch Angriffe in anderen Ländern, darunter Österreich, die Tschechische Republik, Deutschland, Indien, Russland und die Vereinigten Staaten festgestellt. In den letzten Monaten interessierten sie sich auch verstärkt für andere ostasiatische Länder mit Sitz in China.

Dazu ist WinDealer fähig

Eine detaillierte technische Analyse sowohl der Malware selbst als auch ihres Bereitstellungsmechanismus finden Sie im Beitrag auf Securelist. Kurz gesagt, WinDealer hat die Funktionalität moderner Spyware und kann:

  • Dateien und das Dateisystem manipulieren (Dateien öffnen, schreiben und löschen, Daten über Verzeichnisse und Festplatten sammeln);
  • Informationen über Hardware, Netzwerkeinstellungen, Prozesse, Tastaturlayout und installierte Anwendungen sammeln;
  • Beliebige Dateien hoch- und herunterladen;
  • Beliebige Befehle ausführen;
  • Textdateien und MS Office-Dokumente durchsuchen;
  • Screenshots machen;
  • Das lokale Netzwerk scannen;
  • Die Backdoor-Funktion unterstützen;
  • Daten über verfügbare WLAN-Netzwerke (mindestens eine der von unseren Experten gefundenen Malware-Varianten ist dazu in der Lage) sammeln.

So schützen Sie sich

Leider können sich Nutzer vor Man-on-the-Side-Angriffe auf Netzwerkebene nur sehr schwer schützen. Theoretisch kann eine ständige VPN-Verbindung helfen, die aber nicht immer verfügbar ist. Um eine Spyware-Infektion auszuschließen, sollte daher jedes Gerät mit Internetzugang mit einer [KESB placeholder]robusten Sicherheitslösung[/KESB placeholder] ausgestattet werden. Darüber hinaus können EDR-Lösungen dabei helfen, Anomalien zu erkennen und einen Angriff frühzeitig zu stoppen.

Tipps