Эксперты антивирусной компании ESET сообщают о новой атаке хакерской группировки Winnti, нацеленной на азиатских геймеров. Две игры и одна игровая платформа были взломаны для внедрения бэкдора, в результате чего пострадали десятки тысяч пользователей.
Для распространения скомпрометированных версий игрового ПО злоумышленники использовали легитимный механизм рассылки обновлений, при этом вредоносный код был внедрен в исполняемые файлы. Запуск бэкдора происходил в оперативной памяти, а сам процесс был защищен шифрованием.
Бэкдор запускался перед началом игры; вредоносная программа никак себя не выдавала — игра не прерывалась, и геймеры ни о чем не подозревали. Это говорит о том, что злоумышленники модифицировали конфигурацию сборки, а не исходный код.
Примечательно, что перед запуском вредоносная программа проверяла языковые настройки ОС — на системах с русским или китайским языками бэкдор просто не запускался. Подавляющее большинство заражений, около 55%, пришлось на Таиланд. Также пострадали Филиппины и Тайвань.
Отметим, что 1% зараженных из России связан с тем, что жертвы не включили в своей операционной системе русский язык.
После обнаружения атаки ESET связалась с разработчиками скомпрометированного ПО, на данный момент они удалили бэкдоры в двух продуктах. Однако игра Infestation (по иронии, название переводится как «заражение») по-прежнему рассылает своим пользователям вредоносные обновления.
Предположительно, злоумышленники могли использовать данную атаку для финансовой выгоды, либо с целью использования созданного ботнета для более крупных атак.
Ранее группировка Winnti уже была замечена за атаками на цепочки поставок — их сложно обнаружить на стороне пользователя, т.к. пользователь по умолчанию доверяет разработчикам своего ПО и устанавливает предлагаемые ими обновления.
По этой причине ряд киберпреступных групп нацеливают атаки на поставщиков софта — компрометация большого числа устройств позволит в короткие сроки создать огромный ботнет.
Однако у такой тактики есть и очевидный недостаток — как только вредоносная кампания будет обнаружена, киберпреступники потеряют контроль над ботнетом, а пользователи смогут избавиться от зараженного ПО с помощью легитимного обновления.