GryRTV

Nowy atak na łańcuch dostaw wykorzystuje zatrute aktualizacje do infekowania komputerów graczy

Linie i kolory wyglądają jak sekwencja wrót z 2001: Odyseja kosmiczna.
Powiększać / Płytka drukowana z prędkością ruchu i światłem.

Naukowcy odkryli atak na łańcuch dostaw oprogramowania, który jest wykorzystywany do instalowania złośliwego oprogramowania monitorującego na komputerach graczy online.

Nieznani napastnicy atakują wybranych użytkowników NoxPlayer, pakietu oprogramowania emulującego system operacyjny Android na komputerach PC i Mac. Ludzie używają go głównie do grania w mobilne gry na Androida na tych platformach. Producent NoxPlayer, BigNox, twierdzi, że oprogramowanie ma 150 milionów użytkowników w 150 krajach.

Zatrucie studnię

Firma zabezpieczająca Eset poinformowała w poniedziałek, że system dystrybucji oprogramowania BigNox został zhakowany i wykorzystany do dostarczania złośliwych aktualizacji wybranym użytkownikom. Pierwsze aktualizacje zostały dostarczone we wrześniu ubiegłego roku poprzez manipulację dwoma plikami: głównym binarnym plikiem BigNox Nox.exe i NoxPack.exe, który sam pobiera aktualizację.

„Mamy wystarczające dowody, aby stwierdzić, że infrastruktura BigNox (res06.bignox.com) została przejęta w celu hostowania złośliwego oprogramowania, a także zasugerować, że ich infrastruktura HTTP API (api.bignox.com) mogła zostać przejęta” – powiedział badacz złośliwego oprogramowania Eset Ignacio Sanmillan napisał. „W niektórych przypadkach dodatkowe ładunki były pobierane przez aktualizator BigNox z serwerów kontrolowanych przez atakującego. Sugeruje to, że pole adresu URL podane w odpowiedzi z interfejsu API BigNox zostało zmodyfikowane przez osoby atakujące ”.

W skrócie, atak działa w ten sposób: po uruchomieniu Nox.exe wysyła żądanie do interfejsu programistycznego w celu uzyskania informacji o aktualizacji. Serwer API BigNox odpowiada informacją o aktualizacji, która zawiera adres URL, pod którym powinna być dostępna legalna aktualizacja. Eset spekuluje, że legalna aktualizacja mogła zostać zastąpiona złośliwym oprogramowaniem lub, alternatywnie, wprowadzono nową nazwę pliku lub adres URL.

Następnie złośliwe oprogramowanie jest instalowane na komputerze docelowym. Złośliwe pliki nie są podpisane cyfrowo w taki sam sposób, jak legalne aktualizacje. Sugeruje to, że system kompilacji oprogramowania BigNox nie jest zagrożony, a raczej tylko systemy dostarczania aktualizacji. Szkodliwe oprogramowanie przeprowadza ograniczone rozpoznanie na docelowym komputerze. Osoby atakujące dodatkowo dostosowują złośliwe aktualizacje do określonych celów.

Serwer API BigNox odpowiada określonemu celowi informacją o aktualizacji, która wskazuje lokalizację złośliwej aktualizacji na serwerze kontrolowanym przez atakującego. Obserwowany przepływ wtargnięcia jest przedstawiony poniżej.

Eset

Badacz szkodliwego oprogramowania Eset, Sanmillan, dodał:

  • Legalna infrastruktura BigNox dostarczała złośliwe oprogramowanie do określonych aktualizacji. Zauważyliśmy, że te złośliwe aktualizacje miały miejsce dopiero we wrześniu 2020 r.
  • Ponadto zaobserwowaliśmy, że w przypadku określonych ofiar złośliwe aktualizacje były pobierane z infrastruktury kontrolowanej przez atakującego później i przez cały rok 2020 i początek 2021 roku.
  • Jesteśmy przekonani, że te dodatkowe aktualizacje zostały wykonane przez Nox.exe dostarczanie określonych parametrów do NoxPack.exe, co sugeruje, że mechanizm API BigNox mógł również zostać naruszony w celu dostarczania dostosowanych złośliwych aktualizacji.
  • Może to również sugerować możliwość, że ofiary zostały poddane atakowi MitM, chociaż uważamy, że ta hipoteza jest mało prawdopodobna, ponieważ ofiary, które odkryliśmy, znajdują się w różnych krajach, a napastnicy mieli już przyczółek w infrastrukturze BigNox.
  • Ponadto mogliśmy odtworzyć pobieranie próbek złośliwego oprogramowania przechowywanych na serwerze res06.bignox.com z maszyny testowej i przy użyciu protokołu HTTPS. Eliminuje to możliwość użycia ataku MitM do sfałszowania pliku binarnego aktualizacji.

Eset zaobserwował instalowanie trzech różnych wariantów złośliwego oprogramowania. Nic nie wskazuje na to, by złośliwe oprogramowanie próbowało osiągnąć zyski finansowe w imieniu napastników. To doprowadziło firmę ochroniarską do przekonania, że ​​złośliwe oprogramowanie jest wykorzystywane do nadzorowania celów.

Sanmillan powiedział, że spośród ponad 100 000 użytkowników Eset, którzy mają zainstalowanego NoxPlayera, tylko pięciu z nich otrzymało złośliwą aktualizację. Liczby podkreślają, jak ukierunkowane są ataki. Cele znajdują się na Tajwanie, w Hongkongu i na Sri Lance.

Sanmillan powiedział, że Eset skontaktował się z BigNox w sprawie ustaleń, a producent oprogramowania zaprzeczył, że ma to wpływ. Przedstawiciele BigNox nie odpowiedzieli na e-mail z prośbą o komentarz do tego posta.

Każdy, kto używał NoxPlayer w ciągu ostatnich pięciu miesięcy, powinien poświęcić trochę czasu na dokładne sprawdzenie swoich systemów pod kątem oznak kompromisu. Poniedziałkowy post zawiera listę plików i ustawień, które będą wskazywać, kiedy komputer otrzymał złośliwą aktualizację. Chociaż post Eset odnosi się tylko do wersji oprogramowania dla systemu Windows, obecnie nie można wykluczyć możliwości, że celem ataków byli również użytkownicy macOS.

Zostaw komentarz

Maciek Luboński
Z wykształcenia jestem kucharzem , ale to nie przeszkadza mi pisać dla Was tekstów z wielu ciekawych dziedzin , których sam jestem fanem.Piszę dużo i często nie na tak jak trzeba , ale co z tego skoro tak naprawdę liczy się pasja.

Najlepsze recenzje

Video

gallery

Facebook