Immagine: Screengrab di Infestazione home page
Un noto Cinese cyber-spionaggio vestito conosciuto come il Winnti Gruppo ha violato le reti dei due creatori del gioco e una piattaforma di gioco in Asia per includere un trojan backdoor all’interno dei loro prodotti.
Due di tali prodotti non includono gli hacker Cinesi backdoor, secondo un rapporto pubblicato oggi dalla slovacca cyber-ditta di sicurezza ESET.
Tuttavia, il terzo, un gioco chiamato Infestazione –prodotto da Thai sviluppatore Elettronica Estremo-è ancora spingendo gli aggiornamenti e disponibile per il download nella sua backdoored nonostante versione di ESET sforzi per informare lo sviluppatore del gioco attraverso vari canali dal mese di febbraio.
Mentre ESET non auguro a nome di altri due i prodotti interessati, il file infetto hash incluso nel ESET relazione del CIO (Indicatori Di Compromesso) sezione punti il dito verso la Garena piattaforma di gioco come il secondo impatto prodotto.
Il nome del terzo impatto prodotto (è un gioco), è ancora sconosciuto.
“Abbiamo lavorato con uno dei sviluppatori, e abbiamo rispettato la loro volontà di rimanere anonimo e gestire la situazione,” Léveillé detto a ZDNet in una e-mail. “Per essere onesti, abbiamo deciso di evitare di citare i nomi di editori che già risanato il problema.”
Come per la porta di per sé, Léveillé, ha detto che il Winnti Gruppo modificato il file eseguibile di tre prodotti in un modo simile.
Il codice malevolo è incluso nei giochi’ eseguibile principale, e viene decriptato in fase di runtime e si è lanciato in esecuzione nella memoria del PC, mentre il gioco originale/piattaforma di gioco viene eseguito come previsto.
“Questo potrebbe suggerire che il malfattore ha cambiato una generazione di configurazione, piuttosto che il codice sorgente stessa,” Léveillé, ha detto.
Il ricercatore ha detto anche di ZDNet che il Winnti Gruppo sembra aver usato i normali aggiornamenti del gioco come mezzo per spingere il backdoored versioni per gli utenti, un motivo per cui l’infezione non è stato individuato subito e contenuti, raggiungendo un gran numero di utenti.
“Il lato positivo, la C&C [comando e di controllo] i server erano offline più tardi e questo ha limitato l’attacco,” Léveillé detto a ZDNet.
Questo significa che con la backdoor è ancora in fase di attiva nel campo dell’Elettronica Extreme Infestazione di gioco, i nuovi utenti sono sempre infetti, ma la backdoor non essere in grado di mettersi in contatto con i C&C server per scaricare ulteriore malware sul host infetti.
“Data la popolarità dell’applicazione compromesso che è ancora in fase distribuito dal suo sviluppatore, non sarebbe sorprendente se il numero delle vittime è nell’ordine delle decine o centinaia di migliaia, ESET ricercatore Marc-Etienne M. Léveillé ha detto oggi.
Basato su ESET dati di telemetria, la maggior parte delle vittime vengono da paesi Asiatici, che non è sorprendente dal momento che i giochi sono popolari nella regione.
Immagine: ESET
Una particolare curiosità è stata la backdoor non eseguiti su un computer dove la lingua locale impostazioni Cinese o in Russia (alcuni computer sono stati infettati in Russia, perché hanno usato non-impostazioni di lingua russa).
Il backdoor ruolo era quello di scaricare una seconda fase di troia che ESET ha detto che era un ingombrante file DLL. I ricercatori non sono stati in grado di analizzare e vedere che cosa questa seconda malware ceppo, come i server C&C che la controllata di questa seconda fase del payload di non ritorno file aggiuntivi per attivare il malware in esecuzione.
Poiché la backdoor supporta solo quattro comandi e la sua C&C server sono giù, gli utenti sono un po ‘ sicuro di questa seconda malware ceppo, per il momento.
Tuttavia, a causa di Infestazione di gioco, gli sviluppatori sono riusciti a ripulire i loro server, il Winnti Gruppo potrebbe distribuire un nuovo dannoso aggiornamento del gioco con un nuovo backdoor che comunica con un altro server C&C e ri-attivare tutti in precedenza gli utenti infetti.
Infestazione giocatori sono invitati a reinstallare i loro sistemi al più presto possibile.
ESET non è certo perché il Winnti Gruppo di mira i giocatori e quello che è il finale di partita per questa campagna, ma il gruppo ha utilizzato compromesso giochi in passato per distribuire il cyber-spionaggio malware. Per esempio, lo ha fatto prima nel 2011.
Il Winnti è un Gruppo di cyber-spionaggio outfit che è noto per effettuare tali tipi di hack –conosciuto come catena di fornitura attacchi. Un ProtectWise 401TRG 2018 report elenca alcuni episodi del passato, insieme con loro l’anno scorso la predisposizione per la raccolta di certificati di firma del codice da software aziende nella preparazione del futuro della catena di fornitura attacchi.
Relative cyber-copertura di sicurezza:
Ransomware attacco Israeliano utenti fallisce miseramente a causa di codifica errorMarriott CEO di azioni post-mortem scorso anno hackEgypt governo ha usato Gmail app di terze parti per phish activistsFacebook sues ucraino estensione per il browser responsabili per raschiare utente dataResearchers scoprire anello di GitHub conti promuovere 300+ backdoored appsCitrix rivela di violazione della sicurezza della rete interna
Il Malware può ora eludere la sicurezza del cloud strumenti TechRepublicCryptomining malware scoperto che si presenta come aggiornamenti di Flash CNET
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati