Kelompok peretas berbahasa China yang dikenal sebagai LuoYu menginfeksi korban malware pencuri informasi WinDealer yang disebarkan dengan mengganti pembaruan aplikasi yang sah dengan muatan berbahaya dalam serangan man-on-the-side.
Untuk melakukan itu, pelaku ancaman secara aktif memantau lalu lintas jaringan target mereka untuk permintaan pembaruan aplikasi yang ditautkan ke aplikasi Asia populer seperti QQ, WeChat, dan WangWang dan menggantinya dengan penginstal WinDealer.
Setelah digunakan, WinDealer membantu penyerang mencari dan menyedot sejumlah besar data dari sistem Windows yang disusupi, menginstal pintu belakang untuk mempertahankan kegigihan, memanipulasi file, memindai perangkat lain di jaringan, dan menjalankan perintah sewenang-wenang.
Alih-alih menggunakan info server command-and-control (C2) hard-coded yang umum, WinDealer akan terhubung ke alamat IP ChinaNet (AS4134) acak dari provinsi Xizang dan Guizhou dari kumpulan 48.000 alamat IP, menurut peneliti keamanan di Kaspersky yang mengamati metode pengiriman baru ini.
Karena mengendalikan keseluruhan rentang IP ini kemungkinan tidak mungkin, penjelasan tentang bagaimana LuoYu mampu melakukan ini termasuk penggunaan router yang disusupi “pada rute ke (atau di dalam) AS4134,” penggunaan alat penegakan hukum tingkat ISP, atau ” menandakan metode intelijen yang tidak diketahui masyarakat umum.”
LuoYu telah beralih untuk menyalahgunakan mekanisme pembaruan otomatis dari aplikasi korban mereka setelah sebelumnya mendorong malware agar lebih mudah melakukan serangan lubang air di mana mereka akan menggunakan situs berita lokal yang disusupi sebagai vektor infeksi.
“Serangan man-on-the-side-sangat merusak, karena satu-satunya syarat yang diperlukan untuk menyerang perangkat adalah perangkat itu terhubung ke internet. Bahkan jika serangan gagal untuk pertama kalinya, penyerang dapat mengulangi prosesnya berulang kali. lagi sampai mereka berhasil,” jelas peneliti keamanan senior Kaspersky Suguru Ishimaru.
Menargetkan organisasi Korea dan Jepang setidaknya sejak 2014, LuoYu juga dikenal karena menyerang organisasi diplomatik asing di Tiongkok, komunitas akademik, dan organisasi dari berbagai sektor industri, termasuk pertahanan dan telekomunikasi.
Tim Riset dan Analisis Global Kaspersky (GReAT) juga telah melihat infeksi sesekali di negara lain seperti Jerman, Austria, Amerika Serikat, Republik Ceko, Rusia, dan India.
Baru-baru ini, LuoYu juga mulai mengejar perusahaan-perusahaan di Asia Timur dan cabang-cabangnya yang berlokasi di China.
Selain menargetkan perangkat Windows menggunakan WinDealer, kelompok peretas yang kurang dikenal ini sebelumnya telah diamati menyerang perangkat macOS, Linux, dan Android dengan malware Demsty (ReverseWindow) dan SpyDealer.
Sumber: Bleeping Computer
