Дослідники з компанії ESET виявили, що механізм оновлення NoxPlayer, емулятора Android для Windows і macOS, виготовленого гонконгською компанією BigNox, був скомпрометований невідомим зловмисником і використовувався для зараження комп’ютерів геймерів шкідливим програмним забезпеченням.
За даними BigNox, NoxPlayer використовується геймерами у понад 150 країнах у всьому світі, але, як виявила ESET у січні 2021 року, кампанія була зосереджена на зараженні лише азіатських геймерів – принаймні трьома різними шкідливими програмами, пише Bleeping Computer.
Щоб забезпечити проникнення “шкідника” в системи своїх цілей, група хакерів, яка називається NightScout, скомпрометувала інфраструктуру сховища res06.bignox.com BigNox для зберігання шкідливого програмного забезпечення та інфраструктуру API api.bignox.com для розгортання корисних навантажень.
“Ми маємо достатньо доказів, щоб стверджувати, що інфраструктура BigNox була скомпрометована для розміщення шкідливого програмного забезпечення, а також припустити, що інфраструктура API могла бути скомпрометована. У деяких випадках оновлення BigNox завантажувало додаткові корисні навантаження з контрольованих зловмисниками серверів”, – пояснив дослідник компанії ESET Ігнаціо Санміллан.
Шкідливі оновлення, доставлені через скомпрометований механізм оновлення NoxPlayer, включали невідоме шкідливе програмне забезпечення з можливостями моніторингу та троян віддаленого доступу (RAT) Gh0st, який часто використовується. Третє шкідливе програмне забезпечення PoisonIvy RAT також було виявлено ESET під час розслідування атаки на ланцюг поставок, але воно було доставлено як корисне навантаження другого ступеня з власної інфраструктури зловмисників, не шляхом розгортання шкідливих оновлень NoxPlayer.
Незважаючи на величезну кількість жертв, які могли бути заражені між вереснем 2020 року, коли почалася атака на ланцюг поставок, і січнем 2021 року, коли її було виявлено, група хакерів NightScout замість цього вирішила заразити п’ять великих цілей з Тайваню, Гонконгу та Шрі-Ланки. Це виявило цілеспрямований характер цієї операції.
Минулого року ESET розкрила інші атаки у ланцюгах поставок, такі як операція StealthyTrident, націлена на користувачів Able Desktop, банківські та урядові цілі WIZVERA VeraPort та операція SignSight, що призвело до зламу в’єтнамського програмного забезпечення для електронних підписів. Але Nightscout – зовсім інша загроза. Це пояснюється тим, що діяльність групи NightScout натомість зосередилася на цілях ігрового співтовариства, та характеризується використанням своєрідного і рідкісного способу збору інформації у високоцільовій кібершпигунській операції.
“Щоб бути в безпеці, у випадку підозри на зараження, виконайте стандартне перевстановлення емудяторів з чистого носія, – додав Санміллан. – Для неінфікованих користувачів NoxPlayer – не завантажуйте жодних оновлень, поки BigNox не надішле повідомлення про те, що вони ліквідували загрозу, крім того, найкращою практикою буде видалення програмного забезпечення.”
Радимо звернути увагу на поради, про які писав Cybercalm, а саме:
Як виправити повільний Wi-Fi? ПОРАДИ
Як дізнатися, які дані Google знає про Вас і видалити їх? – ІНСТРУКЦІЯ
Як не стати жертвою кібератаки? ПОРАДИ
Чи варто користуватися WhatsApp? П’ять правил безпеки від найбільш розшукуваного хакера світу
П’ять небезпечних типів файлів, що можуть містити шкідливе ПЗ
Нагадаємо, Apple займається розробкою, яка буде розрізняти користувачів смартфонів за новою технологією. Йдеться про так звану теплову карту особи, яка, як і відбитки пальців, є унікальною. Обдурити цю систему захисту буде практично неможливо.
Також корпорація Microsoft випускає вбудований генератор паролів та функцію моніторингу витоків облікових даних у системах Windows та macOS, що працюють з останньою версією Microsoft Edge.
Окрім цього, багатофункціональний “шкідник” VPNFilter, якому вдалося інфікувати 500 тисяч роутерів у 54 країнах, хоч і був дезактивований два роки тому, однак досі не вичищений із сотень мереж. Такі невтішні результати чергової перевірки, яку провели дослідники з Trend Micro.
До речі, викрадена база даних, яка містить імена, адреси електронної пошти та паролі користувачів Nitro PDF, безкоштовно розповсюджується в Мережі. Загалом база даних налічує понад 77 мільйонів записів.