Операция NightScout: геймеры под прицелом кибершпионов

Компания ESET — лидер в области информационной безопасности — сообщает об обнаружении новой атаки на цепь поставки, которая направлена ​​на механизм обновления программы-эмулятора под названием NoxPlayer. В частности, три разных семейства угроз распространяются с помощью специальных вредоносных обновлений с целью кибершпионажа. Исследователи ESET назвали опасную операцию NightScout.

Стоит отметить, что программное обеспечение NoxPlayer в основном используется геймерами для запуска мобильных игр со своих компьютеров Windows и Mac. Поставщиком программы-эмулятора Android является гонконгская компания BigNox, которая насчитывает более 150 миллионов пользователей в больше чем 150 странах.

Более 150 миллионов пользователей NoxPlayer под угрозой компрометации вредоносным ПО. ESET.

«По данным телеметрии ESET первые признаки компрометации были зафиксированы в сентябре 2020 года. Вредоносная активность продолжалась до момента обнаружения на прошлой неделе, о чем также было предупреждено компаниюBigNox», — комментирует Игнасио Санмиллан, исследователь компании ESET.

Во время исследования целенаправленной операции NightScout удалось идентифицировать только несколько жертв, среди которых были пользователи из Тайвани, Гонконга и Шри-Ланки. «Анализ этого скомпрометированного программного обеспечения и вредоносных программ с возможностями отслеживания свидетельствует о намерении сбора данных о целях из среды игрового сообщества», — уточняет исследователь ESET.

В этой атаке на цепь поставки вектором компрометации был механизм обновления NoxPlayer. В частности, NoxPlayer после запуска предлагает пользователю установить новую версию, таким образом распространяя вредоносную программу.

«Мы имеем достаточно доказательств компрометации BigNox с целью размещения вредоносного ПО, а также предполагаем возможность заражения инфраструктуры API. В некоторых случаях дополнительные компоненты загружались через обновление BigNox с серверов, контролируемых злоумышленниками», — добавляет Игнасио Санмиллан.

Всего исследователи ESET обнаружили три разных варианта вредоносных обновлений. Первое имеет достаточно возможностей для отслеживания действий пользователей. Оно, как и второй вариант обновления, загружалось с легитимной инфраструктуры BigNox. Развернутый финальный компонент Gh0st RAT считывал нажатия клавиатуры.

В третьем случае PoisonIvy RAT, популярный среди киберпреступников инструмент для удаленного доступа, применялся только после начальных вредоносных обновлений и загружался с контролируемой злоумышленниками инфраструктуры.

Исследователи ESET нашли некоторые схожие черты между ранее выявленными загрузчиками и теми, которые использовались в операции NightScout. Сходство связано с инцидентами компрометации цепи поставок сайта президентского офиса Мьянмы в 2018 году и атаками на университет Гонконга в начале 2020 года.

«В случае заражения выполните переустановку операционной системы и загрузите ПО с чистого носителя. Для незараженных пользователей NoxPlayer не стоит загружать никаких обновлений, пока BigNox не пришлет сообщение об обезвреживании угроз. А лучшим вариантом будет удалить программное обеспечение», — рекомендует Игнасио Санмиллан.

Более подробная информация об операции NightScout доступна по ссылке.

[Обновление от 3 февраля 2021 года]

После публикации исследования компания BigNox сообщила ESET о применении мер для повышения безопасности пользователей, в частности путем:

  • использования только HTTPS для доставки обновлений программного обеспечения, чтобы минимизировать риски несанкционированного использования домена и MitM-атак;
  • осуществления контроля целостности файлов с помощью хеширования MD5 и проверки их подписи;
  • шифрования конфиденциальных данных во избежание раскрытия личной информации пользователей.

BigNox также заявила об отправке последних файлов на сервер обновлений для NoxPlayer и выполнении при запуске проверки файлов программы, которые были ранее установлены на устройствах пользователей.

Компания ESET не несет ответственности за точность информации, предоставленной BigNox.

 

Читайте также:

Распространенные угрозы для геймеров: как соперники могут влиять на ход игры

Специалисты ESET обнаружили атаки на геймеров и ИТ-производителей

От спам-сообщений к торрентам — 7 самых распространенных способов заражения устройств