SICUREZZA INFORMATICA
Comunicato Stampa

ESET: nuovo attacco alla supply chain, malware infetta tre videogiochi

30/04/19

In un nuovo esempio di attacco alla supply-chain, un gruppo di hacker presumibilmente cinese si è insinuato in tre videogiochi molto diffusi in Asia e ha inserito una backdoor nei rispettivi programmi

FotoI ricercatori di ESET spiegano come il gruppo di hacker sia riuscito a infettare due giochi e una piattaforma di gaming, colpendo così centinaia di migliaia di utenti.
In ognuno dei casi il malware presentava configurazioni diverse, ma il codice della backdoor era lo stesso per tutti e tre i videogiochi, così come il sistema di lancio. ESET è riuscita a contattare due delle tre aziende per rimuovere la minaccia, ma il terzo gioco – che ironicamente si chiama Infestation ed è prodotto dalla thailandese Electronics Extreme – ancora distribuisce gli eseguibili infetti.
Curiosamente, il malware prima di colpire il PC dell’utente controlla se la lingua del sistema sia il russo o il cinese, e in caso affermativo smette di funzionare, nel tentativo di evitare di estendersi a quelle determinate aree geografiche.

Gli eseguibili compromessi avviano il payload del malware su un sistema compromesso prima di qualsiasi altro componente, con la backdoor decrittografata e avviata in-memory in anticipo, prima di eseguire il gioco o il codice della piattaforma di gioco.
Durante l'analisi, i ricercatori di ESET hanno rilevato in the wild cinque versioni del payload dannoso, utilizzando file di configurazione simili contenenti un URL del server C&C, un tempo di attesa pre configurato per ritardare l'esecuzione, una stringa contenente il nome della campagna e, ancora più importante, un elenco di file eseguibili che portano alla chiusura della backdoor se sono in esecuzione sul sistema infetto.
Se la backdoor non si spegne dopo il controllo delle soluzioni di sicurezza, genererà un identificatore di bot che racchiude nome utente, nome del computer, versione di Windows e lingua del sistema, inviando tutto ai criminali informatici e aspettando una risposta con i comandi.
Sebbene il malware sia dotato anche di un payload di secondo stadio che si installa come servizio di Windows ed è progettato per auto-aggiornarsi, la sua esatta funzione non è ancora nota e il server C&C che usa come parte del processo di aggiornamento automatico non è raggiungibile
Per ulteriori informazioni è possibile visitare il blog di ESET Welivesecurity al seguente link: Gaming industry still in the scope of attackers in Asia



Licenza di distribuzione:
INFORMAZIONI SULLA PUBBLICAZIONE
Elisabetta Giuliano
Responsabile account:
 Elisabetta Giuliano (Responsabile pubblicazioni)
Contatti e maggiori informazioni
Vedi altre pubblicazioni di questo utente
RSS di questo utente
© Pensi che questo testo violi qualche norma sul copyright, contenga abusi di qualche tipo? Contatta il responsabile o Leggi come procedere
Tutte le categorie
Internet Nuovi Siti Motori Ricerca Software Linux Sic. Informatica Hi-Tech Corsi
 
Editoria Attualità Medicina Eventi Sport Musica Spettacolo Arte e Cultura
 
Turismo Gastronomia Economia Aziendali Accordi Commercio Servizi Altro