nuovo malware
Buongiorno cari lettori, oggi parleremo di questo nuovo malware che colpisce gli emulatori.
L'attacco malware coinvolge NoxPlayer; che è un emulatore utilizzato per l'esecuzione di applicazioni Android su Windows e macOS.
ESET ha rivelato che BigNox è stato compromesso in un attacco alla catena di fornitura. BigNox è famosa per il suo NoxPlayer; che è un emulatore utilizzato per l'esecuzione di applicazioni Android su Windows e macOS. L'attacco era principalmente a scopo di sorveglianza, secondo le informazioni raccolte.
Chi è stato colpito?
Gli aggressori hanno usato l'infrastruttura di aggiornamento di BigNox per scaricare il malware sul computer dell'utente. Questo malware può essere utilizzato per scopi di sorveglianza e la comunità di gioco online ne è colpita, ma si osserva che questo attacco era altamente mirato.
Su più di centomila utenti che hanno il NoxPlayer in esecuzione sui loro computer, un totale di cinque persone hanno ricevuto l'aggiornamento dannoso. Questo conferma la natura altamente mirata di questo attacco.
Anche se qualsiasi relazione tra le vittime o il motivo per cui sono state prese di mira non è ancora stato trovato, in quanto provengono da paesi diversi, in sostanza Taiwan, Hong Kong e Sri Lanka.
Ciò rende questo attacco di cyber-spionaggio molto particolare, in quanto le vittime non sono né attivisti dei diritti umani né funzionari governativi, che sono i tipici obiettivi di tali attacchi, ma giocatori online.
Interrogato sul suddetto attacco malware, BigNox ha negato di essere stato colpito. Secondo il ricercatore di malware di ESET Ignacio Sanmillan,
"Abbiamo contattato BigNox circa l'intrusione, e hanno negato di essere stati colpiti".
Tuttavia, dopo che la ricerca di ESET è stata pubblicata, BigNox ha chiarito che questa negazione era un malinteso. Hanno inoltre affermato che l'azienda sta prendendo provvedimenti per garantire una migliore sicurezza per i loro utenti.
ESET ha offerto il suo supporto per un'indagine interna se BigNox ne ha bisogno, ha aggiunto Sanmillan. Ha anche detto che la mancanza di qualsiasi relazione tra gli individui presi di mira suggerisce che le capacità di sorveglianza del malware erano destinate a raccogliere informazioni sugli obiettivi relativi alla comunità di gioco.
Come è successo:
Secondo i ricercatori, il meccanismo di aggiornamento di BigNox è compromesso, e il malware è ospitato sulla loro infrastruttura (res06.bignox.com). Insieme a questo, anche l'infrastruttura API HTTP di BigNox (api.bignox(.)com) potrebbe essere compromessa. Questa infrastruttura è utilizzata per trasferire richieste e risposte tra i server e i clienti.
Per capire esattamente come è stato condotto l'attacco alla catena di fornitura, è importante sapere come funziona il meccanismo di aggiornamento. NoxPlayer verifica la disponibilità di una versione più recente al momento del lancio. Se viene rilevata una versione più recente, chiede all'utente di installare un aggiornamento tramite una casella di messaggio.
L'utente può scegliere di installare l'aggiornamento. Se l'utente sceglie di installare l'aggiornamento, una query va al server utilizzando l'infrastruttura API HTTP di cui sopra. Questo recupera le informazioni di aggiornamento necessarie. "Nox.exe", che è l'applicazione binaria principale di NoxPlayer, fornisce questi parametri al toolbox "NoxPaxk.exe". Il toolbox scarica quindi l'aggiornamento.
Se tutto va bene, NoxPlayer viene aggiornato, ma nel caso dell'attacco in discussione è stato scaricato sul computer della vittima anche un ulteriore payload. Questo payload è stato scaricato da server controllati dagli aggressori. Questo propone che l'API di BigNox abbia risposto con un URL che è stato alterato dagli aggressori.
Il diagramma qui sotto spiega il flusso dell'intrusione osservato dai ricercatori di ESET:
Un'altra speculazione è che l'aggiornamento effettivo è stato sostituito con il malware nei server di BigNox. Gli aggiornamenti scaricati non sono anche firmati digitalmente come gli aggiornamenti legittimi di BigNox. Questo significa che il Software Build System di BigNox non è compromesso e solo il sistema di consegna è responsabile della perdita.
ESET ha anche scritto nella ricerca pubblicata che è molto improbabile che questo fosse un attacco Man in the Middle (MitM). Questo perché nell'attacco Man in the Middle, gli attaccanti intercettano la comunicazione tra due parti per ottenere informazioni. Ma il punto d'appoggio degli aggressori nell'infrastruttura BigNox e nei diversi paesi degli obiettivi sfata questa ipotesi.
Come essere al sicuro?
Il malware non ha tentato di ottenere alcuna informazione finanziaria a causa della quale ESET ritiene che lo scopo principale di questo attacco fosse la sorveglianza. ESET ha scoperto un totale di tre varianti del malware e nessuna di esse ha colpito nessuna vittima dal punto di vista finanziario.
Si suggerisce a chiunque abbia NoxPlayer installato di adottare le seguenti misure: controllare attentamente il proprio sistema per verificare la presenza di segni di infezione se NoxPlayer è stato utilizzato su quella macchina negli ultimi cinque mesi. Non aggiornare NoxPlayer a meno che non ci sia una notifica ufficiale che la minaccia sia stata neutralizzata.
spero che questo articolo ti sia piaciuto, e ci vedremo ad un prossimo.
