{"id":28853,"date":"2022-06-10T15:32:05","date_gmt":"2022-06-10T13:32:05","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=28853"},"modified":"2022-06-10T15:32:05","modified_gmt":"2022-06-10T13:32:05","slug":"windealer-man-on-the-side","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/windealer-man-on-the-side\/28853\/","title":{"rendered":"WinDealer: Spyware mit besonderem Bereitstellungsmechanismus"},"content":{"rendered":"

Kaspersky-Forscher haben entdeckt<\/a>, dass die Malware WinDealer vom APT-Akteur LuoYu \u00fcber Man-on-the-Side-Angriffe verbreitet wird. Dabei nutzen Angreifer diese Methode, um Malware zu verbreiten und die Kontrolle \u00fcber bereits infizierte Computer zu \u00fcbernehmen.<\/p>\n

Was ist ein Man-on-the-Side-Angriff und wie setzen die Angreifer hinter WinDealer diesen ein?<\/h2>\n

Man-on-the-Side-Angriffe implizieren die Kontrolle des Kommunikationskanals; Angreifern wird auf diese Weise erm\u00f6glicht, den Datenverkehr mitzulesen und beliebige Nachrichten in den normalen Datenaustausch einzuf\u00fcgen.<\/p>\n

Hier ein Beispiel: Angreifer fangen eine Update-Anfrage von einer v\u00f6llig legitimen Software ab und tauschen die Update-Datei gegen eine infizierte Datei aus.<\/p>\n

Eine \u00e4hnliche Methode wird von Angreifern eingesetzt, um der Malware auf einem infizierten Computer bestimmte Befehle zu erteilen. Um es Sicherheitsforschern zu erschweren, den C&C-Server ausfindig zu machen, greift die Malware auf eine zuf\u00e4llige IP-Adresse aus einem vordefinierten Bereich zu. Angreifer k\u00f6nnen die Anfrage so abgreifen und beantworten. In einigen F\u00e4llen versucht WinDealer, auf eine Adresse zuzugreifen, die gar nicht existiert, erh\u00e4lt dank der Man-on-the-Side-Methode aber dennoch eine Antwort.<\/p>\n

Unseren Experten zufolge ben\u00f6tigen Angreifer f\u00fcr eine erfolgreiche Ausf\u00fchrung dieser Methode st\u00e4ndigen Zugriff auf die Router des gesamten Subnetzes oder auf fortschrittliche Tools auf Anbieter-Ebene.<\/p>\n

Auf wen zielt WinDealer ab?<\/h2>\n

Die \u00fcberwiegende Mehrheit der LuoYu-Opfer befindet sich in China. Dabei handelt es sich \u00fcberwiegend um ausl\u00e4ndische diplomatische Organisationen, akademische Einrichtungen oder Unternehmen, die in der Verteidigungs-, Logistik- oder Telekommunikationsbranche t\u00e4tig sind. Unsere Experten haben jedoch auch Angriffe in anderen L\u00e4ndern, darunter \u00d6sterreich, die Tschechische Republik, Deutschland, Indien, Russland und die Vereinigten Staaten festgestellt. In den letzten Monaten interessierten sie sich auch verst\u00e4rkt f\u00fcr andere ostasiatische L\u00e4nder mit Sitz in China.<\/p>\n

Dazu ist WinDealer f\u00e4hig<\/h2>\n

Eine detaillierte technische Analyse sowohl der Malware selbst als auch ihres Bereitstellungsmechanismus finden Sie im Beitrag auf Securelist<\/a>. Kurz gesagt, WinDealer hat die Funktionalit\u00e4t moderner Spyware und kann:<\/p>\n