{"id":27257,"date":"2022-06-10T10:08:44","date_gmt":"2022-06-10T08:08:44","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=27257"},"modified":"2022-06-13T10:10:19","modified_gmt":"2022-06-13T08:10:19","slug":"windealer-man-on-the-side","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/windealer-man-on-the-side\/27257\/","title":{"rendered":"WinDealer: un spyware peculiar"},"content":{"rendered":"

Los analistas de Kaspersky han estudiado<\/a> el malware<\/em> WinDealer creado por la APT del grupo LuoYu. Lo m\u00e1s destacado de esta investigaci\u00f3n es que los atacantes, aparentemente, han llevado a la perfecci\u00f3n el m\u00e9todo de ataque man-on-the-side<\/em> y lo utilizan para enviar malware<\/em> y controlar ordenadores ya infectados.<\/p>\n

\u00bfQu\u00e9 es un ataque man-on-the-side<\/em> y c\u00f3mo lo utilizan los operadores de WinDealer?<\/h2>\n

El ataque man-on-the-side<\/em> tiene la particularidad de que el atacante tiene el control del canal de comunicaci\u00f3n, lo que le permite leer el tr\u00e1fico e insertar mensajes aleatorios en un intercambio normal de datos.<\/p>\n

Un ejemplo muy sencillo sobre c\u00f3mo se distribuye WinDealer: los atacantes intervienen en una solicitud de actualizaci\u00f3n de un software<\/em> completamente leg\u00edtimo cambiando el archivo original de actualizaci\u00f3n por uno modificado.<\/p>\n

Los atacantes utilizan un truco similar para emitir comandos al malware<\/em> de un ordenador infectado. Para dificultar que los investigadores de seguridad encuentren el servidor de comando y control, el malware<\/em> no contiene una direcci\u00f3n exacta. En su lugar, intenta acceder a una direcci\u00f3n IP aleatoria de un rango predefinido. Los atacantes interceptan entonces la solicitud y responden a ella. En algunos casos, WinDealer intenta acceder a una direcci\u00f3n que ni siquiera existe, pero gracias al m\u00e9todo man-on-the-side<\/em>, sigue recibiendo respuesta.<\/p>\n

Seg\u00fan nuestros expertos, para que esto funcione, los atacantes necesitan tener acceso a los routers <\/em>de toda la subred o a algunas herramientas avanzadas del proveedor del servicio de Internet.<\/p>\n

\u00bfQui\u00e9nes son los objetivos de WinDealer?<\/h2>\n

La gran mayor\u00eda de los objetivos de WinDealer se encuentran en China: organizaciones diplom\u00e1ticas extranjeras, miembros de la comunidad educativa o empresas relacionadas con el mundo de la defensa, la log\u00edstica o las telecomunicaciones. De forma m\u00e1s puntual, la APT del grupo LuoYu tambi\u00e9n tiene objetivos en otros pa\u00edses: Alemania, Austria, Estados Unidos, India, Rep\u00fablica Checa y Rusia. En los \u00faltimos meses, tambi\u00e9n se han interesado m\u00e1s por pa\u00edses de Asia oriental y por sus respectivas sedes en China.<\/p>\n

\u00bfQu\u00e9 puede hacer WinDealer?<\/h2>\n

En este post del blog de Securelist<\/a> encontrar\u00e1s un an\u00e1lisis t\u00e9cnico detallado tanto del malware<\/em> en s\u00ed como de su \u201cmecanismo\u201d de distribuci\u00f3n. De forma muy resumida, podemos decir que WinDealer funciona como un spyware <\/em>moderno y es capaz de:<\/p>\n