Cerca nel blog

lunedì 29 aprile 2019

ESET: nuovo attacco alla supply chain, malware infetta tre videogiochi

  In un nuovo esempio di attacco alla supply-chain, un gruppo di hacker presumibilmente cinese si è insinuato in tre videogiochi molto diffusi in Asia e ha inserito una backdoor nei rispettivi programmi.

I ricercatori di ESET spiegano come il gruppo di hacker sia riuscito a infettare due giochi e una piattaforma di gaming, colpendo così centinaia di migliaia di utenti.

In ognuno dei casi il malware presentava configurazioni diverse, ma il codice della backdoor era lo stesso per tutti e tre i videogiochi, così come il sistema di lancio. ESET è riuscita a contattare due delle tre aziende per rimuovere la minaccia, ma il terzo gioco – che ironicamente si chiama Infestation ed è prodotto dalla thailandese Electronics Extreme – ancora distribuisce gli eseguibili infetti.

Curiosamente, il malware prima di colpire il PC dell'utente controlla se la lingua del sistema sia il russo o il cinese, e in caso affermativo smette di funzionare, nel tentativo di evitare di estendersi a quelle determinate aree geografiche.

 

Gli eseguibili compromessi avviano il payload del malware su un sistema compromesso prima di qualsiasi altro componente, con la backdoor decrittografata e avviata in-memory in anticipo, prima di eseguire il gioco o il codice della piattaforma di gioco.

Durante l'analisi, i ricercatori di ESET hanno rilevato in the wild cinque versioni del payload dannoso, utilizzando file di configurazione simili contenenti un URL del server C&C, un tempo di attesa pre configurato per ritardare l'esecuzione, una stringa contenente il nome della campagna e, ancora più importante, un elenco di file eseguibili che portano alla chiusura della backdoor se sono in esecuzione sul sistema infetto.

Se la backdoor non si spegne dopo il controllo delle soluzioni di sicurezza, genererà un identificatore di bot che racchiude nome utente, nome del computer, versione di Windows e lingua del sistema, inviando tutto ai criminali informatici e aspettando una risposta con i comandi.

Sebbene il malware sia dotato anche di un payload di secondo stadio che si installa come servizio di Windows ed è progettato per auto-aggiornarsi, la sua esatta funzione non è ancora nota e il server C&C che usa come parte del processo di aggiornamento automatico non è raggiungibile

Per ulteriori informazioni è possibile visitare il blog di ESET Welivesecurity al seguente link: Gaming industry still in the scope of attackers in Asia




Nessun commento:

Posta un commento

Tutte le news della Rete le trovi sul:


Giornale online realizzato da una redazione virtuale composta da giornalisti e addetti stampa, professionisti di marketing, comunicazione, PR, opinionisti e bloggers. Il CorrieredelWeb.it vuole promuovere relazioni tra tutti i comunicatori e sviluppare in pieno le potenzialità della Rete per una comunicazione democratica e partecipata.

Disclaimer

www.CorrieredelWeb.it e' un periodico telematico senza scopi di lucro, i cui contenuti vengono prodotti al di fuori delle tradizionali industrie dell'editoria o dell'intrattenimento, coinvolgendo ogni settore della Societa' dell'Informazione, fino a giungere agli stessi utilizzatori di Internet, che divengono contemporaneamente produttori e fruitori delle informazioni diffuse in Rete. In questo la testata ambisce ad essere una piena espressione dell'Art. 21 della Costituzione Italiana.

Pur essendo normalmente aggiornato piu' volte quotidianamente, CorrieredelWeb.it non ha una periodicita' predefinita e non puo' quindi considerarsi un prodotto editoriale ai sensi della legge n.62 del 7.03.2001.

L'Autore non ha alcuna responsabilita' per quanto riguarda qualità e correttezza dei contenuti inseriti da terze persone. L'Autore si riserva, tuttavia, la facolta' di rimuovere quanto ritenuto offensivo, lesivo o contraro al buon costume.

Le immagini e foto pubblicate sono in larga parte strettamente collegate agli argomenti e alle istituzioni o imprese di cui si scrive. Alcune fotografie possono provenire da Internet, e quindi essere state valutate di pubblico dominio. Eventuali detentori dei diritti d'autore non avranno che da segnalarlo via email alla redazione, che provvedera' all'immediata rimozione o citazione della fonte, a seconda di quanto richiesto.

Viceversa, sostenendo una politica volta alla libera circolazione di ogni informazione e divulgazione della conoscenza, ogni articolo pubblicato sul CorrieredelWeb.it, pur tutelato dal diritto d'autore, può essere ripubblicato citando la legittima fonte e questa testata secondo quanto previsto dalla licenza Creative Common.

Questa opera è pubblicata sotto una Licenza Creative Commons Creative Commons License

CorrieredelWeb.it è un'iniziativa del Cav. Andrea Pietrarota, Sociologo della Comunicazione, Public Reporter, e Giornalista Pubblicista

indirizzo skype: apietrarota