Исследователи кибербезопасности сегодня раскрыли новую supply-chain атаку, ставящую под угрозу механизм обновления NoxPlayer, бесплатного эмулятора Android для ПК и Mac.
Шпионская кампания, названная исследователями словацкой компании по кибербезопасности ESET «Операция NightScout», включала в себя распространение трех различных семейств вредоносных программ через специализированные обновления для выбранных целей на Тайване, в Гонконге и Шри-Ланке.
NoxPlayer, разработанный гонконгской компанией BigNox - это Android-эмулятор, позволяющий пользователям играть в мобильные игры на ПК с поддержкой клавиатуры, геймпада, записи скриптов и запуска нескольких экземпляров приложения. По оценкам, он имеет более 150 миллионов пользователей в более чем 150 странах.
Первые признаки атаки появились в сентябре 2020 года, а «явно вредоносная активность» была обнаружена на этой неделе, что побудило ESET сообщить об инциденте в BigNox.
«Основываясь на скомпрометированном программном обеспечении и доставленных вредоносных программах, демонстрирующих шпионские возможности, мы считаем, что существует намерение сбора разведданных о целях, вовлеченных в игровое сообщество», - заявил исследователь ESET Игнасио Санмиллан.
Вектором доставки зараженных трояном версий программного обеспечения пользователям послужил механизм обновления NoxPlayer. После установки обновлений на рабочих станциях жертв появились три различных вредоносных ПО таких как «Gh0st RAT», предназначенных для перехвата нажатия клавиш и сбора конфиденциальной информации.
Отдельно исследователи обнаружили случаи, когда дополнительные вредоносные программы, например «PoisonIvy RAT», загружались программой обновления BigNox с удаленных серверов, контролируемых злоумышленниками.
«PoisonIvy RAT» был замечен в атаке после изначальных вредоносных обновлений и загружен из контролируемой злоумышленником инфраструктуры», - сообщил Санмиллан.
Впервые замеченный в 2005 году, «PoisonIvy RAT» использовался в нескольких громких кампаниях по распространению вредоносных программ, в том числе в 2011 году, когда были скомпрометированы данные RSA SecurID.
Исследователи отмечают, что использовавшиеся при атаке загрузчики вредоносного ПО имели сходство с теми, что использовались при компрометации сайта офиса президента Мьянмы в 2018 году и при взломе университета Гонконга в прошлом году. По словам ESET, существуют доказательства, что инфраструктура API BigNox также могла быть скомпрометирована.
«Чтобы обезопасить себя, выполните стандартную переустановку с чистого носителя», - сообщил Санмиллан. «Для незараженных пользователей NoxPlayer - не загружайте обновления до тех пор, пока BigNox не отправит уведомление об устранении угрозы. Более того, лучшей практикой будет деинсталляция данного программного обеспечения».
Перевод сделан со статьи: https://thehackernews.com
