Фахівці міжнародного розробника антивірусного програмного забезпечення, експерта в області кіберзахисту – компанії ESET попереджають про нову хакерську атаку, яка спрямована на механізм оновлення програми-емулятора під назвою NoxPlayer.
«Три різних сімейства загроз поширюються за допомогою спеціальних шкідливих оновлень з метою кібершпіонажу. Дослідники ESET назвали небезпечну операцію NightScout», – повідомляють в компанії ESET.
Згідно з повідомленням, програмне забезпечення NoxPlayer, в основному, використовується геймерами для запуску мобільних ігор зі своїх комп'ютерів Windows і Mac. Постачальником програми-емулятора Android є гонконгська компанія BigNox, яка налічує понад 150 мільйонів користувачів у більш ніж 150 країнах.
«За даними телеметрії ESET, перші ознаки компрометації були зафіксовані у вересні 2020 року. Шкідлива активність тривала до моменту виявлення минулого тижня, про що також було попереджено компанію BigNox», – наводять в компанії слова дослідника ESET Ігнасіо Санміллана.
Під час дослідження цілеспрямованої операції NightScout вдалося ідентифікувати лише кілька жертв, серед яких були користувачі з Тайвані, Гонконгу та Шрі-Ланки.
«Аналіз цього скомпрометованого програмного забезпечення і шкідливих програм з можливостями відстеження свідчить про намір збору даних про цілі з середовища ігрового співтовариства», – уточнює дослідник ESET.
Як додають в ESET, в цій атаці на ланцюг поставки вектором компрометації був механізм оновлення NoxPlayer. Зокрема, NoxPlayer після запуску пропонує користувачеві встановити нову версію, таким чином поширюючи шкідливу програму.
«Ми маємо достатньо доказів компрометації BigNox з метою розміщення шкідливого ПЗ, а також припускаємо можливість зараження інфраструктури API. У деяких випадках додаткові компоненти завантажувалися через оновлення BigNox з серверів, контрольованих зловмисниками», – цитують в компанії ESET Санміллана.
Всього дослідники ESET виявили три різні варіанти шкідливих оновлень. Перше має достатньо можливостей для відстеження дій користувачів. Воно, як і другий варіант оновлення, завантажувалося з легітимної інфраструктури BigNox. Розгорнутий фінальний компонент Gh0st rat зчитував натискання клавіатури.
У третьому випадку PoisonIvy RAT, популярний серед кіберзлочинців інструмент для віддаленого доступу, застосовувався тільки після початкових шкідливих оновлень і завантажувався з контрольованої зловмисниками інфраструктури.
Дослідники ESET знайшли деякі схожі риси між раніше виявленими завантажувачами та тими, які використовувалися в операції NightScout. Подібність пов'язана з інцидентами компрометації ланцюга поставок сайту президентського офісу М'янми у 2018 році та атаками на університет Гонконгу на початку 2020 року.
«У разі зараження виконайте перевстановлення операційної системи та завантажте ПЗ з чистого носія. Для незаражених користувачів NoxPlayer не варто завантажувати ніяких оновлень, поки BigNox не надішле повідомлення про знешкодження загроз. А найкращим варіантом буде видалити програмне забезпечення», – рекомендує Санміллан.
Як повідомлялось, в Україні щодня фіксується близько 300 тис. нових кіберзагроз для інформаційної безпеки. При цьому, знайти хакерів-зловмисників вкрай складно, компаніям залишається лише проводити щохвилинні моніторинги на предмет виявлення кіберзагроз з метою їх подальшого блокування.
Компанія ESET – провідний розробник рішень у галузі комп'ютерної безпеки та експерт у сфері ІТ-безпеки. Компанія була заснована в 1992 році в Словаччині та на сьогодні представлена більш ніж у 180 країнах світу.