Kaspersky: il malware WinDealer mostra funzionalità di rete estremamente sofisticate

Milano, 3 giugno 2022

I ricercatori di Kaspersky hanno scoperto che il malware soprannominato WinDealer, diffuso da LouYu, il gruppo APT (Advanced Persistent Threat) di lingua cinese, è in grado di eseguire intrusioni attraverso un attacco man-on-the-side. Questo sviluppo innovativo consente al gruppo di modificare il traffico di rete in transito per inserire payload dannosi. Tali attacchi sono particolarmente pericolosi e devastanti perché non richiedono alcuna interazione con l’obiettivo per portare a termine in modo efficace l’infezione.

In seguito alle scoperte del TeamT5, i ricercatori di Kaspersky hanno individuato un nuovo modello di distribuzione applicato dagli operatori per diffondere il malware WinDealer. In particolare, hanno usato un attacco man-on-the-side per leggere il traffico e inserire nuovi messaggi. Un attacco man-on-the-side prevede che nel momento in cui l’attaccante rileva la richiesta di una risorsa specifica sulla rete (grazie alle sue capacità di intercettazione o alla posizione strategica sulla rete dell’ISP), cerca di rispondere alla vittima più velocemente del server legittimo. Se l’attaccante vince la “gara” il computer di destinazione utilizzerà i dati forniti dall’aggressore invece di quelli legittimi. Anche se gli attaccanti non vincono la maggior parte delle “gare”, possono riprovare finché non hanno successo, riuscendo ad infettare la buona parte dei dispositivi.

A seguito di un attacco, il dispositivo colpito riceve un’applicazione spyware in grado di raccogliere una quantità elevata di informazioni. Gli attaccanti sono in grado di visualizzare e scaricare qualsiasi file memorizzato sul dispositivo e di eseguire una ricerca per parole chiave su tutti i documenti. In generale, LouYu prende di mira le organizzazioni diplomatiche straniere con sede in Cina e i membri della comunità accademica, nonché le aziende di difesa, logistica e telecomunicazioni. I criminali utilizzano WinDealer per attaccare i dispositivi Windows.   

In linea di massima, il malware contiene un server di comando e controllo hardcoded dal quale l’operatore malintenzionato controlla l’intero sistema. Grazie alle informazioni sul server, è possibile bloccare l’indirizzo IP delle macchine con cui il malware interagisce, neutralizzando la minaccia. Tuttavia WinDealer si basa su un complesso algoritmo di generazione di IP per determinare quale dispositivo contattare. Questo include una gamma di 48.000 indirizzi IP, rendendo quasi impossibile per l’operatore controllare anche solo una piccola parte degli indirizzi. L’unico modo per spiegare questo comportamento di rete apparentemente impossibile è ipotizzare che gli attaccanti dispongano di notevoli capacità di intercettazione su questo intervallo di IP e possano persino leggere i pacchetti di rete che non raggiungono alcuna destinazione.

L'attacco man-on-the-side è particolarmente devastante perché non richiede alcuna interazione con l’obiettivo per portare a termine l’infezione: è sufficiente avere un dispositivo connesso a Internet. Inoltre, gli utenti per proteggersi possono solo indirizzare il traffico attraverso un’altra rete. Questo può essere fatto con una VPN, anche se si tratta di un’opzione non valida per tutti i territori, e in ogni caso non sarebbe disponibile per i cittadini cinesi.

La stragrande maggioranza delle vittime di LouYu si trova in Cina, pertanto gli esperti di Kaspersky ritengono che l’APT LouYu si concentri prevalentemente su vittime di lingua cinese e su organizzazioni legate alla Cina. Tuttavia, i ricercatori di Kaspersky hanno notato attacchi anche in altri Paesi, tra cui Germania, Austria, Stati Uniti, Repubblica Ceca, Russia e India.



“LouYu è un threat actor estremamente sofisticato, in grado di sfruttare funzionalità disponibili solo agli attaccanti più esperti. Possiamo solo ipotizzare come siano riusciti a sviluppare tali capacità. Gli attacchi man-on-the-side sono estremamente distruttivi poiché l’unica condizione necessaria per attaccare un dispositivo è che questo sia connesso a Internet. Anche se l’attacco fallisce la prima volta, gli aggressori possono ripetere il processo più volte fino a quando non avranno successo. Gli attacchi possono avere come scopo lo spionaggio e sono estremamente pericolosi. Tra le vittime di questi attacchi in genere ci sono diplomatici, scienziati e dipendenti di altri settori chiave. Indipendentemente dal modo in cui l’attacco sia stato condotto, l’unico modo per le potenziali vittime di difendersi è rimanere estremamente vigili e disporre di solide procedure di sicurezza, come scansioni antivirus regolari, analisi del traffico di rete in uscita e logging estese per rilevare le anomalie”, ha commentato Suguru Ishimaru, Senior Security Researcher del Global Research and Analysis Team (GReAT) di Kaspersky.

Il report completo su WinDealer è disponibile su Securelist.

Per proteggersi da una minaccia così avanzata Kaspersky consiglia di:

●      Implementare procedure di sicurezza robuste che prevedono scansioni antivirus regolari, analisi del traffico di rete in uscita e logging estese per rilevare le anomalie.

●      Eseguire un audit di cybersecurity delle reti e porre rimedio a qualsiasi punto debole scoperto sul perimetro o all’interno della rete.

●      Installare soluzioni anti-APT e EDR che consentano la scoperta e il rilevamento delle minacce, l’indagine e la tempestiva riparazione degli incidenti. Fornire al team SOC l’accesso alle informazioni più recenti sulle minacce e aggiornarlo regolarmente con una formazione professionale. Tutto questo è disponibile all’interno del framework Kaspersky Expert Security.

●      Oltre a un’adeguata protezione degli endpoint, alcuni servizi dedicati possono aiutare a contrastare gli attacchi di alto profilo. Il servizio Kaspersky Managed Detection and Response può aiutare a identificare e bloccare gli attacchi nelle loro fasi iniziali, prima che gli attaccanti raggiungano i loro obiettivi.

●      Rimanere aggiornati sulle nuove minacce per mantenere un elevato livello di sicurezza dell’azienda. Threat Intelligence Resource Hub consente di accedere gratuitamente a informazioni indipendenti, costantemente aggiornate e di livello globale sugli attacchi informatici e le minacce in corso.