Следите за новостями

Цифра дня

48 комплексов Starlink направило МЦРИАП в регионы ЧС
  • Доходность
    17,2%за 2023 год
  • Стоимость чистых активов
    29,5млрд тенге
  • Доходность
    14,12%с начала управления
  • Доходность
    17,2%за 2023 год
  • Стоимость чистых активов
    29,5млрд тенге
  • Доходность
    14,12%с начала управления

Игра бэкдоров: ESET зафиксировала новую атаку, направленную на азиатских геймеров

Предположительно, злоумышленники могли использовать данную атаку для финансовой выгоды, либо с целью использования созданного ботнета для более крупных атак.

18 марта 2019 07:00, Profit.kz
Рубрики: Софт, Безопасность

Эксперты антивирусной компании ESET сообщили о новой атаке хакерской группировки Winnti, нацеленной на азиатских геймеров. Две игры и одна игровая платформа были взломаны для внедрения бэкдора, в результате чего пострадали десятки тысяч пользователей. Для распространения скомпрометированных версий игрового ПО злоумышленники использовали легитимный механизм рассылки обновлений, при этом вредоносный код был внедрен в исполняемые файлы. Запуск бэкдора происходил в оперативной памяти, а сам процесс был защищен шифрованием.

Бэкдор запускался перед началом игры; вредоносная программа никак себя не выдавала — игра не прерывалась, и геймеры ни о чем не подозревали. Это говорит о том, что злоумышленники модифицировали конфигурацию сборки, а не исходный код.

Примечательно, что перед запуском вредоносная программа проверяла языковые настройки ОС — на системах с русским или китайским языками бэкдор просто не запускался. Подавляющее большинство заражений, около 55%, пришлось на Таиланд. Также пострадали Филиппины и Тайвань. Отмечается, что 1% зараженных из России связан с тем, что жертвы не включили в своей операционной системе русский язык.

После обнаружения атаки ESET связалась с разработчиками скомпрометированного ПО, на данный момент они удалили бэкдоры в двух продуктах. Однако игра Infestation (по иронии, название переводится как «заражение») по-прежнему рассылает своим пользователям вредоносные обновления.

Ранее группировка Winnti уже была замечена за атаками на цепочки поставок — их сложно обнаружить на стороне пользователя, т. к. пользователь по умолчанию доверяет разработчикам своего ПО и устанавливает предлагаемые ими обновления. По этой причине ряд киберпреступных групп нацеливают атаки на поставщиков софта — компрометация большого числа устройств позволит в короткие сроки создать огромный ботнет. Однако у такой тактики есть и очевидный недостаток — как только вредоносная кампания будет обнаружена, киберпреступники потеряют контроль над ботнетом, а пользователи смогут избавиться от зараженного ПО с помощью легитимного обновления.

Подписывайтесь на каналы Profit.kz в Facebook и Telegram.