WinDealer malware blijkt in staat netwerkverkeer binnen te dringen via man-on-the-side aanval

Malware met de naam WinDealer heeft de mogelijkheid om netwerkverkeer binnen te dringen via een man-on-the-side aanval, zo meldt Kaspersky op basis van eigen onderzoek. De malware wordt verspreid door de Chinees sprekende Advanced Persistent Threat (APT)-actor LuoYu. Deze ontwikkeling stelt de cybercrimineel in staat om netwerkverkeer in-transit aan te passen en kwaadaardige payloads in te voegen. Dergelijke aanvallen zijn bijzonder gevaarlijk en schadelijk, omdat ze geen interactie met het doel vereisen om tot een succesvolle infectie te leiden.

Naar aanleiding van de bevindingen van TeamT5 hebben Kaspersky-onderzoekers een nieuwe distributiemethode ontdekt die door exploitanten wordt toegepast om de WinDealer-malware te verspreiden. Meer specifiek gebruikten ze een man-on-the-side-aanval om verkeer te lezen en nieuwe berichten in te voegen.

De man-on-the-side-aanval is met name schadelijk omdat er geen interactie met het doelwit nodig is om tot een succesvolle infectie te leiden: een apparaat hebben dat met het internet is verbonden is al voldoende. Bovendien kunnen gebruikers niets doen om zich te beschermen, afgezien van het omleiden van verkeer via een ander netwerk. Dit kan worden gedaan met een VPN, maar dit is, afhankelijk van het gebied, wellicht geen optie, en zou doorgaans niet beschikbaar zijn voor Chinese burgers.

De overgrote meerderheid van de LuoYu-slachtoffers bevindt zich volgens Kaspersky in China, waarmee vermoed wordt dat LuoYu APT zich voornamelijk richt op Chineestalige slachtoffers en organisaties die gerelateerd zijn aan China. Kaspersky stelt echter dat het ook aanvallen heeft opgemerkt in andere landen, zoals Duitsland, Oostenrijk, de Verenigde Staten, Tsjechië, Rusland en India.