Los analistas de Kaspersky han descubierto que el malware WinDealer, difundido por el grupo de ciberdelincuentes de habla china LouYu, tiene la habilidad de introducirse sin necesidad de una interacción con la víctima para que la infección tenga éxito, basta con tener un dispositivo conectado a internet.
En un comunicado, la firma ciberseguridad advierte que “no hay nada que los usuarios puedan hacer para protegerse, aparte de enrutar el tráfico a través de otra red. Esto puede hacerse con una VPN, pero esta opción no está disponible en algunos países, como China”.
Kaspersky explicó que se trata de un ataque man-on-the-side, que permite modificar el tráfico de red en tránsito para insertar cargas útiles maliciosas. La firma calificó el ataque como “especialmente devastador, peligrosos y nocivos”.
El concepto general de un ataque man-on-the-side, explicó, es que cuando el atacante ve una solicitud de un recurso específico en la red (a través de sus capacidades de interceptación o de su posición estratégica en la red del ISP), intenta responder a la víctima más rápido que el servidor legítimo.
Si el ciberatacante gana la “carrera”, el dispositivo objetivo utilizará entonces esos datos suministrados en lugar de los datos normales. Si pierde, puede volver a intentarlo hasta que lo consigue, de modo que terminan por infectar la mayoría de los dispositivos.
Windealer fue descubierto por TeamT5, un proveedor profesional de soluciones de ciberseguridad con sede en Taiwán. Tras hallazgos, los analistas de Kaspersky publicaron un informe completo de este malware.
Uno de cada tres profesionales de ciberseguridad planea cambiar de profesión
Los objetivos del malware Windealer
La gran mayoría de las víctimas de LuoYu se encuentran en China, por lo que los expertos de Kaspersky creen que su amenaza persistente avanzada (APT, por sus siglas en inglés) se centra predominantemente en víctimas de habla china y en organizaciones relacionadas con este país.
Sin embargo, los analistas de Kaspersky también han observado ataques en otros puntos del planeta, como Alemania, Austria, Estados Unidos, República Checa, Rusia e India.
El analista senior de seguridad del equipo global de Investigación y Análisis (GReAT) de Kaspersky, Suguru Ishimaru, señala que sus víctimas suelen ser diplomáticos, científicos y empleados de otros sectores clave.
Independientemente de cómo se haya llevado a cabo el ataque, detalló, “la única manera de que las víctimas potenciales se defiendan es permanecer atentas y contar con sistemas de seguridad robustos, como escaneos antivirus regulares, análisis del tráfico de red saliente y un amplio registro para detectar anomalías”.
Ishimaru insistió en que LuoYu es un actor de amenazas “extremadamente sofisticado”.
