Бэкдор атакует азиатских геймеров, но игнорирует РФ и Китай

Аналитики ESET рассказали об атаке на цепочку поставок в индустрии компьютерных развлечений, от которой пострадали два разработчика и платформа-дистрибьютор. Злоумышленники скомпрометировали файлы в видеоиграх и заразили бэкдором десятки тысяч пользователей.

Чтобы не привлекать лишнего внимания, преступники подобрали для своих серверов такие домены, которые были бы созвучны названиям игр или компании-издателя. Попав на компьютер жертвы, вредоносный компонент разворачивает бэкдор в оперативной памяти еще до того, как загрузятся процессы самой игры. После проверки на антивирусную защиту нежелательная программа создает и отправляет на управляющий сервер идентификатор зараженной машины. Этот пакет включает имя пользователя и его компьютера, установленную версию Windows, а также используемые языки.

В ответ на отправленный запрос бэкдор может получить команду скачать и запустить дополнительное ПО или остановить активность. По словам экспертов, последняя функция позволяет операторам кампании регулировать нагрузку на серверы и отсекать неинтересные цели. Исследователи также обнаружили, что зловред не атакует компьютеры в Китае и Российской Федерации.

Поскольку бэкдор запускается при каждом открытии скомпрометированного дистрибутива, он не может удалить себя с компьютера. Для прекращения деятельности программа меняет значение одной из строк реестра Windows, которую проверяет каждый раз при начале работы.

Специалисты говорят и о втором образце полезной нагрузки, который маскировался под системный сервис и настраивал для себя автоматическое обновление. Однако на момент обнаружения кампании соответствующий командный сервер уже отключили, что помешало экспертам выяснить  подробности.

Всего исследователи нашли пять версий зловреда, работающих по одинаковым файлам конфигурации и стоп-листам приложений. Их также объединяют адреса управляющих серверов, наименование кампании и заданное время ожидания до возобновления процесса. Эксперты полагают, что каждый из этих экземпляров может использовать отдельная группировка.

В настоящий момент специалисты устранили два из трех источников угрозы. Последняя компания, чьи продукты еще подвергают пользователей опасности, — это таиландская студия Electronic Extreme, выпустившая игру Infestation. ИБ-эксперты пытаются связаться с ее представителями с февраля, но те пока не отвечают.

«Учитывая популярность скомпрометированных игр и самой платформы, число возможных жертв может составить десятки, а то и сотни тысяч пользователей, — заключают аналитики. — Большинство из них проживает в Таиланде, Тайване и на Филиппинах».

Что касается возможных организаторов атак, то сейчас эксперты могут опираться только на имя одного из вредоносных файлов, где упоминается китайская APT‑группировка Winnti. Именно так называется полезная нагрузка неактивной кампании.

В прошлом году с Winnti связали кражу цифровых сертификатов, позволяющих выдать опасное ПО за легитимное, у игровых и IT-компаний.

По словам экспертов «Лаборатории Касперского», атаки на цепочки поставок станут одной из главных угроз 2019 года. Такие операции позволяют преступникам масштабировать активность, добираясь до крупных целей через их менее защищенных партнеров.

Источник: https://threatpost.ru/supply-chain-attack-hits-asian-gamers-spares-china-and-russia/31794/