mai 18, 2022

Nettnord.no

Næringsnett Nord-Troms

Det nye angrep av forsyningskjeden bruker giftoppdateringer for å infisere spillernes datamaskiner

Zoom inn / Rundt brett med hastighetsbevegelse og lys.

Forskere har oppdaget et angrep på distribusjonskjeden for programvare som kan brukes til å installere sporing av skadelig programvare på online spillers datamaskiner.

Ukjente angripere retter seg mot utvalgte brukere av Knoxplayer, en programvarepakke som følger Android-operativsystemet på PCer og Mac-maskiner. Folk bruker den primært til å spille mobile Android-spill på disse nettstedene. NoxPlayer-produsent Pynox Sier Programvaren har 150 millioner brukere i 150 land.

Gift i brønnen

Sikkerhetsselskapets aktiva Sa mandag Pynox-programvaredistribusjonssystemet ble hacket og brukt til å levere ondsinnede oppdateringer til utvalgte brukere. De første oppdateringene ble gitt i september i fjor ved å manipulere to filer: de viktigste Pynox binære Nox.exe og NoxPack.exe, som lastet ned oppdateringen.

«Vi har nok bevis til å antyde at Bignox-infrastrukturen (res06.bignox.com) kompromitterte verten av skadelig programvare, og at deres HTTP API-infrastruktur (api.bignox.com) kan ha kompromittert,» skrev ressursforsker Ignacio Chanmillan. “I noen tilfeller har ekstra nyttelast blitt lastet ned av Pignox Updater fra angrepskontrollservere. Dette indikerer at URL-feltet som er gitt som svar på Pygnox API har blitt ødelagt av angripere. ”

Kort sagt fungerer angrepet på denne måten: Ved oppstart sender Nox.exe en forespørsel til et programmeringsgrensesnitt for å be om oppdateringsinformasjon. Pygnox API-serveren svarer med oppdateringsinformasjon, som inkluderer URL-adressen som en vanlig oppdatering skal være tilgjengelig fra. ESet spekulerer i at den vanlige oppdateringen kan ha blitt erstattet med skadelig programvare, eller alternativt introdusert et nytt filnavn eller URL.

Skadelig programvare blir deretter installert på måldatamaskinen. Ondsinnede filer signeres ikke digitalt som vanlige oppdateringer. Det antyder at Pynox programvareutviklingssystem ikke kompromitteres; Innstillinger for kun å tilby oppdateringer. Malware lager begrenset intelligens på måldatamaskinen. Angripere designer videre ondsinnede oppdateringer for spesifikke interessemål.

READ  Avinstaller disse ondsinnede Android-appene som stjal Facebook-passord

Pignox API-serveren reagerer med oppdateringsinformasjon til et bestemt mål, som indikerer plasseringen av den ondsinnede oppdateringen på den angriperstyrte serveren. Den observerte infiltrasjonsflyten er vist nedenfor.

Ezet

Ez Malware-forsker Chanmillan la til:

  • Riktig Pignox-infrastruktur vil gi skadelig programvare for spesifikke oppdateringer. Vi la merke til at disse ondsinnede oppdateringene bare finner sted i september 2020.
  • Også for spesifikke ofre ble ondsinnede oppdateringer lastet ned fra den angrepskontrollerte infrastrukturen, deretter innen utgangen av 2020 og begynnelsen av 2021.
  • Vi er veldig sikre på at disse tilleggsoppdateringene er utført Nox.exe Tilby spesifikke parametere NoxPack.exe, Foreslår at Bignox API-mekanismen kan ha kompromittert for å levere ondsinnede oppdateringer.
  • Det kan også antyde muligheten for at ofre blir utsatt for et MTM-angrep, men vi tror denne hypotesen ikke er mulig fordi detektiver er i forskjellige land, og at angriperne allerede hadde satt sin fot i Pynox-infrastrukturen.
  • Det var også i stand til å gjenskape nedlastinger av hostede malwareeksempler res06.bignox.com Ved hjelp av en testmaskin og https. Den avviser muligheten for at et MitM-angrep ble brukt til å skade oppdateringen binær.

EZ har lagt merke til at tre forskjellige typer skadelig programvare er installert. Det er ingen tegn til noe ondsinnet forsøk på å oppnå økonomisk gevinst på angripernes vegne. Dette fikk sikkerhetsselskapet til å tro at malware ble brukt til å spore mål.

Av de mer enn 100.000 eSet-brukerne som har NoxPlayer installert, har bare fem av dem mottatt ondsinnede oppdateringer, sa Chanmillan. Tallene understreker hvor målrettede angrepene er. Reisemål ligger i Taiwan, Hong Kong og Sri Lanka.

READ  BioWare ønsker å gjenvinne sitt rykte og gjenvinne tilliten til samfunnet

Chanmillan sa at Asset hadde kontaktet Bignox med funnene, og programvareprodusenten nektet noen skade. Pignox-representanter svarte ikke på en forespørsel om kommentar til dette innlegget.

Alle som har brukt NoxPlayer de siste fem månedene, bør ta seg tid til å nøye gjennomgå innstillingene for tegn på kompromiss. Mandagens innlegg inneholder en liste over filer og systemer som indikerer når en datamaskin mottar en ondsinnet oppdatering. Selv om Asset Post bare refererer til Windows-versjonen av programvaren, er det foreløpig ingen måte å utelukke muligheten for at MacOS-brukere blir målrettet mot.