Специалисты международного разработчика антивирусного программного обеспечения, эксперта в области киберзащиты – компании ESET предупреждают о новой хакерской атаке, которая направлена на механизм обновления программы-эмулятора под названием NoxPlayer.
Читайте такжеХакеры из года в год становятся смелее, а их атаки - более изощренными - специалисты по кибербезопасности«Три разных семейства угроз распространяются с помощью специальных вредоносных обновлений с целью кибершпионажа. Исследователи ESET назвали опасную операцию NightScout», - сообщают в компании ESET.
Согласно сообщению, программное обеспечение NoxPlayer, в основном, используется геймерами для запуска мобильных игр со своих компьютеров Windows и Mac. Поставщиком программы-эмулятора Android является гонконгская компания BigNox, которая насчитывает более 150 миллионов пользователей в больше чем 150 странах.
«По данным телеметрии ESET, первые признаки компрометации были зафиксированы в сентябре 2020 года. Вредоносная активность продолжалась до момента обнаружения на прошлой неделе, о чем также было предупреждено компанию BigNox», — приводят в компании слова исследователя ESET Игнасио Санмиллана.
Во время исследования целенаправленной операции NightScout удалось идентифицировать только несколько жертв, среди которых были пользователи из Тайвани, Гонконга и Шри-Ланки.
«Анализ этого скомпрометированного программного обеспечения и вредоносных программ с возможностями отслеживания свидетельствует о намерении сбора данных о целях из среды игрового сообщества», — уточняет исследователь ESET.
Как добавляют в ESET, в этой атаке на цепь поставки вектором компрометации был механизм обновления NoxPlayer. В частности, NoxPlayer после запуска предлагает пользователю установить новую версию, таким образом распространяя вредоносную программу.
«Мы имеем достаточно доказательств компрометации BigNox с целью размещения вредоносного ПО, а также предполагаем возможность заражения инфраструктуры API. В некоторых случаях дополнительные компоненты загружались через обновление BigNox с серверов, контролируемых злоумышленниками», — цитируют в компании ESET Санмиллана.
Всего исследователи ESET обнаружили три разных варианта вредоносных обновлений. Первое имеет достаточно возможностей для отслеживания действий пользователей. Оно, как и второй вариант обновления, загружалось с легитимной инфраструктуры BigNox. Развернутый финальный компонент Gh0st RAT считывал нажатия клавиатуры.
В третьем случае PoisonIvy RAT, популярный среди киберпреступников инструмент для удаленного доступа, применялся только после начальных вредоносных обновлений и загружался с контролируемой злоумышленниками инфраструктуры.
Исследователи ESET нашли некоторые схожие черты между ранее выявленными загрузчиками и теми, которые использовались в операции NightScout. Сходство связано с инцидентами компрометации цепи поставок сайта президентского офиса Мьянмы в 2018 году и атаками на университет Гонконга в начале 2020 года.
«В случае заражения выполните переустановку операционной системы и загрузите ПО с чистого носителя. Для незараженных пользователей NoxPlayer не стоит загружать никаких обновлений, пока BigNox не пришлет сообщение об обезвреживании угроз. А лучшим вариантом будет удалить программное обеспечение», — рекомендует Санмиллан.
Как сообщал УНИАН, в Украине ежедневно фиксируется около 300 тыс. новых киберугроз для информационной безопасности. При этом, найти хакеров-злоумышленников крайне сложно, компаниям остается лишь проводить ежеминутные мониторинги на предмет выявления киберугроз с целью их дальнейшего блокирования.
Компания ESET – ведущий разработчик решений в области компьютерной безопасности и эксперт в сфере IТ-безопасности. Компания была основана в 1992 году в Словакии и на сегодня представлена более, чем в 180 странах мира.
