Los analistas de Kaspersky han estudiado el malware WinDealer creado por la APT del grupo LuoYu. Lo más destacado de esta investigación es que los atacantes, aparentemente, han llevado a la perfección el método de ataque man-on-the-side y lo utilizan para enviar malware y controlar ordenadores ya infectados.
¿Qué es un ataque man-on-the-side y cómo lo utilizan los operadores de WinDealer?
El ataque man-on-the-side tiene la particularidad de que el atacante tiene el control del canal de comunicación, lo que le permite leer el tráfico e insertar mensajes aleatorios en un intercambio normal de datos.
Un ejemplo muy sencillo sobre cómo se distribuye WinDealer: los atacantes intervienen en una solicitud de actualización de un software completamente legítimo cambiando el archivo original de actualización por uno modificado.
Los atacantes utilizan un truco similar para emitir comandos al malware de un ordenador infectado. Para dificultar que los investigadores de seguridad encuentren el servidor de comando y control, el malware no contiene una dirección exacta. En su lugar, intenta acceder a una dirección IP aleatoria de un rango predefinido. Los atacantes interceptan entonces la solicitud y responden a ella. En algunos casos, WinDealer intenta acceder a una dirección que ni siquiera existe, pero gracias al método man-on-the-side, sigue recibiendo respuesta.
Según nuestros expertos, para que esto funcione, los atacantes necesitan tener acceso a los routers de toda la subred o a algunas herramientas avanzadas del proveedor del servicio de Internet.
¿Quiénes son los objetivos de WinDealer?
La gran mayoría de los objetivos de WinDealer se encuentran en China: organizaciones diplomáticas extranjeras, miembros de la comunidad educativa o empresas relacionadas con el mundo de la defensa, la logística o las telecomunicaciones. De forma más puntual, la APT del grupo LuoYu también tiene objetivos en otros países: Alemania, Austria, Estados Unidos, India, República Checa y Rusia. En los últimos meses, también se han interesado más por países de Asia oriental y por sus respectivas sedes en China.
¿Qué puede hacer WinDealer?
En este post del blog de Securelist encontrarás un análisis técnico detallado tanto del malware en sí como de su “mecanismo” de distribución. De forma muy resumida, podemos decir que WinDealer funciona como un spyware moderno y es capaz de:
- Manipular archivos y el propio sistema de archivos (abrir, editar y borrar archivos, recoger datos sobre directorios y discos).
- Recopilar información sobre el hardware, la configuración de red, los procesos, la configuración del teclado y las aplicaciones instaladas.
- Cargar y descargar archivos arbitrarios.
- Ejecutar comandos arbitrarios.
- Buscar en archivos de texto y documentos de MS Office.
- Hacer capturas de pantalla.
- Analizar la red local.
- Apoyar la función de un backdoor.
- Recoger datos sobre las redes wifi disponibles (al menos una de las variantes del malware encontradas por nuestros expertos es capaz de hacerlo).
Cómo mantenerte a salvo
Por desgracia, a nivel de red, es bastante complicado protegerse de un ataque man-on-the-side. En teoría, una conexión VPN constante puede ayudar, pero no siempre existe esa opción. Por lo tanto, para evitar caer en las manos del spyware, es necesario que cada dispositivo que tenga acceso a Internet cuente con una solución de seguridad fiable. Además, las soluciones tipo EDR pueden ayudar a detectar anomalías y detener un ataque desde una fase muy temprana.