È stato scoperto che malware estremamente potente, distribuito immune alla maggior parte delle misure di sicurezza informatica (si apre in una nuova scheda), infetta i personaggi cinesi.
I ricercatori di sicurezza informatica di Kaspersky hanno scoperto un malware che chiamano WinDealer, distribuito e utilizzato da un attore cinese di Advanced Persistent Threat (APT) di nome LuoYu. WinDealer, dicono i ricercatori, può raccogliere "una quantità impressionante" di informazioni. Puoi visualizzare e scaricare tutti i file memorizzati sul tuo dispositivo, nonché eseguire una ricerca per parola chiave su tutti i documenti.
Per inviare il malware all'endpoint di destinazione (si apre in una nuova scheda), gli aggressori eseguono un attacco man-on-the-side, essenzialmente dirottando il traffico di rete in transito.
Gara con il cameriere
Quando la vittima tenta di accedere a una determinata risorsa su Internet (ad esempio, per aprire il proprio account LinkedIn), deve inviare una richiesta al server per aprire la pagina. Questa richiesta è il tipo di traffico che gli aggressori possono intercettare e leggere, quindi tentare di fornire contenuto dannoso prima che il server risponda con il sito legittimo.
Kaspersky descrive il metodo come una "corsa" con il server legittimo, con l'unica differenza che l'aggressore ha tutti i tentativi che desidera per fornire contenuti dannosi. Per infettare con successo un endpoint bersaglio, l'aggressore non ha bisogno di alcuna interazione con la vittima, chiunque essa sia.
Gli obiettivi sono per lo più organizzazioni e individui di alto livello in Cina, affermano inoltre i ricercatori. Le organizzazioni diplomatiche straniere stabilite in Cina, i membri della comunità accademica, le società di difesa, logistica e telecomunicazioni sono elencate come potenziali bersagli. Oltre alla Cina, i ricercatori di Kaspersky hanno menzionato anche obiettivi in Germania, Austria, Stati Uniti, Repubblica Ceca, Russia e India.
Tutti i target utilizzano Windows come sistema operativo preferito.
Oltre ad essere difficile da rilevare, il malware (si apre in una nuova scheda) è anche difficile da bloccare. In genere, questo tipo di malware contatta un server di comando e controllo (C2) per ricevere istruzioni e il semplice blocco dell'indirizzo IP del server sarebbe sufficiente per neutralizzare la minaccia. WinDealer, d'altra parte, si basa su un complesso algoritmo che genera indirizzi IP (48.000, secondo Kaspersky), il che rende impossibile il blocco.
L'unico modo per difendersi da un simile attacco è instradare il traffico attraverso un'altra rete, ad esempio con una VPN. Tuttavia, avere una VPN in Cina è più facile a dirsi che a farsi.