ESET ha svelato un nuovo attacco alla supply chain: un gruppo di hacker, presumibilmente cinese, si è insinuato in tre videogiochi molto diffusi in Asia.
I ricercatori di ESET spiegano come il gruppo di hacker sia riuscito a infettare due giochi e una piattaforma di gaming, colpendo così centinaia di migliaia di utenti.
In ognuno dei casi il malware presentava configurazioni diverse, ma il codice della backdoor era lo stesso per tutti e tre i videogiochi, così come il sistema di lancio. ESET è riuscita a contattare due delle tre aziende per rimuovere la minaccia, ma il terzo gioco – che ironicamente si chiama Infestation ed è prodotto dalla thailandese Electronics Extreme – ancora distribuisce gli eseguibili infetti.
Curiosamente, il malware prima di colpire il PC dell’utente controlla se la lingua del sistema sia il russo o il cinese, e in caso affermativo smette di funzionare, nel tentativo di evitare di estendersi a quelle determinate aree geografiche.
Gli eseguibili compromessi avviano il payload del malware su un sistema compromesso prima di qualsiasi altro componente, con la backdoor decrittografata e avviata in-memory in anticipo, prima di eseguire il gioco o il codice della piattaforma di gioco.
Durante l’analisi, i ricercatori di ESET hanno rilevato in the wild cinque versioni del payload dannoso, utilizzando file di configurazione simili contenenti un URL del server C&C, un tempo di attesa pre configurato per ritardare l’esecuzione, una stringa contenente il nome della campagna e, ancora più importante, un elenco di file eseguibili che portano alla chiusura della backdoor se sono in esecuzione sul sistema infetto.
Se la backdoor non si spegne dopo il controllo delle soluzioni di sicurezza, genererà un identificatore di bot che racchiude nome utente, nome del computer, versione di Windows e lingua del sistema, inviando tutto ai criminali informatici e aspettando una risposta con i comandi.
Sebbene il malware sia dotato anche di un payload di secondo stadio che si installa come servizio di Windows ed è progettato per auto-aggiornarsi, la sua esatta funzione non è ancora nota e il server C&C che usa come parte del processo di aggiornamento automatico non è raggiungibile