Компания ESET — лидер в области информационной безопасности — сообщает об обнаружении новой атаки на цепь поставки, которая направлена на механизм обновления программы-эмулятора под названием NoxPlayer. В частности, три разных семейства угроз распространяются с помощью специальных вредоносных обновлений с целью кибершпионажа. Исследователи ESET назвали опасную операцию NightScout.
Стоит отметить, что программное обеспечение NoxPlayer в основном используется геймерами для запуска мобильных игр со своих компьютеров Windows и Mac. Поставщиком программы-эмулятора Android является гонконгская компания BigNox, которая насчитывает более 150 миллионов пользователей в больше чем 150 странах.
«По данным телеметрии ESET первые признаки компрометации были зафиксированы в сентябре 2020 года. Вредоносная активность продолжалась до момента обнаружения на прошлой неделе, о чем также было предупреждено компаниюBigNox», — комментирует Игнасио Санмиллан, исследователь компании ESET.
Во время исследования целенаправленной операции NightScout удалось идентифицировать только несколько жертв, среди которых были пользователи из Тайвани, Гонконга и Шри-Ланки. «Анализ этого скомпрометированного программного обеспечения и вредоносных программ с возможностями отслеживания свидетельствует о намерении сбора данных о целях из среды игрового сообщества», — уточняет исследователь ESET.
В этой атаке на цепь поставки вектором компрометации был механизм обновления NoxPlayer. В частности, NoxPlayer после запуска предлагает пользователю установить новую версию, таким образом распространяя вредоносную программу.
«Мы имеем достаточно доказательств компрометации BigNox с целью размещения вредоносного ПО, а также предполагаем возможность заражения инфраструктуры API. В некоторых случаях дополнительные компоненты загружались через обновление BigNox с серверов, контролируемых злоумышленниками», — добавляет Игнасио Санмиллан.
Всего исследователи ESET обнаружили три разных варианта вредоносных обновлений. Первое имеет достаточно возможностей для отслеживания действий пользователей. Оно, как и второй вариант обновления, загружалось с легитимной инфраструктуры BigNox. Развернутый финальный компонент Gh0st RAT считывал нажатия клавиатуры.
В третьем случае PoisonIvy RAT, популярный среди киберпреступников инструмент для удаленного доступа, применялся только после начальных вредоносных обновлений и загружался с контролируемой злоумышленниками инфраструктуры.
Исследователи ESET нашли некоторые схожие черты между ранее выявленными загрузчиками и теми, которые использовались в операции NightScout. Сходство связано с инцидентами компрометации цепи поставок сайта президентского офиса Мьянмы в 2018 году и атаками на университет Гонконга в начале 2020 года.
«В случае заражения выполните переустановку операционной системы и загрузите ПО с чистого носителя. Для незараженных пользователей NoxPlayer не стоит загружать никаких обновлений, пока BigNox не пришлет сообщение об обезвреживании угроз. А лучшим вариантом будет удалить программное обеспечение», — рекомендует Игнасио Санмиллан.
Более подробная информация об операции NightScout доступна по ссылке.
[Обновление от 3 февраля 2021 года]
После публикации исследования компания BigNox сообщила ESET о применении мер для повышения безопасности пользователей, в частности путем:
- использования только HTTPS для доставки обновлений программного обеспечения, чтобы минимизировать риски несанкционированного использования домена и MitM-атак;
- осуществления контроля целостности файлов с помощью хеширования MD5 и проверки их подписи;
- шифрования конфиденциальных данных во избежание раскрытия личной информации пользователей.
BigNox также заявила об отправке последних файлов на сервер обновлений для NoxPlayer и выполнении при запуске проверки файлов программы, которые были ранее установлены на устройствах пользователей.
Компания ESET не несет ответственности за точность информации, предоставленной BigNox.
Читайте также:
Распространенные угрозы для геймеров: как соперники могут влиять на ход игры
Специалисты ESET обнаружили атаки на геймеров и ИТ-производителей
От спам-сообщений к торрентам — 7 самых распространенных способов заражения устройств