Hoy aprenderás todo sobre el malware WinDealer creado por los atacantes de LuoYu, quienes han logrado perfeccionar el método de ataque man-on-the-side, a través del cual logran controlar los dispositivos y ordenadores infectados por el virus.
Este hallazgo fue llevado a cabo por expertos de Kaspersky, quienes demostraron cuán agresivo y maligno es el WinDealer, y cómo este es capaz de controlar ordenadores a través de los canales de comunicación.
¿Qué es el WinDealer y por qué se basa en el man-on-the-side Attack?
En primer lugar, el WinDealer es un malware que opera a través de un ataque conocido como man-on-the-side, el cual tiene la función de permitir a los ciberatacantes tomar el control del canal de comunicación que tienen los dispositivos.
Es decir, el WinDealer usando el método mencionado, permite a los ciberdelincuentes leer el tráfico, para insertar mensajes al azar o aleatorios en un intercambio de datos.
Por ejemplo: los atacantes envían una solicitud de actualización de un software, la cual parece completamente legítima, y una vez esta es aceptada por la víctima, el archivo original cambia la actualización por una modificada, es allí donde toma el control del ordenador.
Por lo tanto, para que este ataque funcione, los ciberdelincuentes deben acceder a los routers conectados a las redes de las empresas, también pueden ingresar a través del proveedor del servicio de Internet. En tal sentido, es necesario proteger los router y el servicio de internet a través de soluciones tecnológicas de puntos finales EDR, como la que ofrece Cynet 360.
¿Qué tanto puede hacer WinDealer?
Hemos dicho que este malware actúa como un método de distribución, por lo tanto, WinDealer tiene la función de un spyware sofisticado, capaz de manipular archivos y el sistema de archivos, en otras palabras, puede abrir, editar y borrar archivos, seleccionar datos de discos y directorios.
Al mismo tiempo, puede recoger información de hardware, crear nuevas configuraciones de red y cambiar las aplicaciones y la configuración del teclado.
Otras funciones del WinDealer…
- Carga y descarga archivos de forma arbitraria.
- Ejecuta comandos de forma arbitraria.
- Busca archivos de texto y documentos de MS Office.
- Hace capturas de pantalla.
- Analiza el funcionamiento de las redes locales.
¿A qué organizaciones ataca el malware WinDealer?
La mayoría de los blancos atacados por WinDealer están en China, se trata de empresas y organizaciones diplomáticas, de procedencia extranjera (transnacionales). Otro de los sectores víctima, son las instituciones educativas y empresas armamentistas, de logística y de telecomunicaciones. También existen otros objetivos de empresas similares en países como Alemania, Austria, Estados Unidos, Reino Unido, República Checa y Rusia.
¿Cómo protegerse del WinDealer?
Desafortunadamente, al nivel de conexiones y redes, es un tanto difícil protegerse de un ataque man-on-the-side de WinDealer, pero, una conexión VPN constante puede ayudar a proteger los entornos corporativos.
No obstante, existe una opción mucho más robusta que permite proteger la infraestructura de cualquier organización, hablamos una solución de seguridad EDR de Cynet (Endpoint Detection and Response) ya que proporciona monitoreo y análisis continuo de endpoint y redes, también detecta anomalías y detiene cualquier ciberataque desde una fase muy temprana.