Os investigadores descobriram um ataque à cadeia de fornecimento de software usado para instalar malware de vigilância nos computadores de jogadores online.

Os atacantes desconhecidos têm como alvo usuários selecionados do NoxPlayer, um pacote de software que emula o sistema operacional Android no PC e Mac. As pessoas o usam principalmente para jogar jogos móveis Android nessas plataformas. BigNox do fabricante do NoxPlayer Ele diz o software tem 150 milhões de usuários em 150 países.

Envenenando o poço

Firma de segurança Eset disse segunda-feira que o sistema de distribuição de software BigNox foi hackeado e usado para entregar atualizações maliciosas a usuários selecionados. As atualizações iniciais foram entregues em setembro passado por meio da manipulação de dois arquivos: o binário principal do BigNox Nox.exe e NoxPack.exe, que baixa a atualização por conta própria.

“Temos evidências suficientes para afirmar que a infraestrutura do BigNox (res06.bignox.com) foi comprometida para hospedar malware e também para sugerir que sua infraestrutura HTTP API (api.bignox.com) pode ter sido comprometida”, disse o malware Eset Ignacio pesquisador escreveu Sanmillan. “Em alguns casos, o atualizador do BigNox baixou cargas adicionais de servidores controlados pelo invasor. Isso sugere que o campo URL, fornecido na resposta da API do BigNox, foi adulterado pelos invasores. “

Simplificando, o ataque funciona assim: no lançamento, Nox.exe envia uma solicitação a uma interface de programação para consultar as informações de atualização. O servidor BigNox API responde com informações de atualização que incluem uma URL onde a atualização legítima é considerada disponível. Eset especula que a atualização legítima pode ter sido substituída por malware ou, alternativamente, um novo nome de arquivo ou URL foi introduzido.

O malware então se instala na máquina do alvo. Os arquivos maliciosos não são assinados digitalmente como as atualizações legítimas. Isso sugere que o sistema de compilação do software BigNox não está comprometido; apenas os sistemas de entrega de atualizações são. O malware executa reconhecimento limitado no computador de destino. Os invasores adaptam ainda mais as atualizações maliciosas para alvos de interesse específicos.

O servidor BigNox API responde a um alvo específico com informações de atualização que apontam para o local da atualização maliciosa em um servidor controlado por um invasor. O fluxo de intrusão observado é mostrado abaixo.

Sanmillan, pesquisador de malware da Eset, acrescentou:

• A infraestrutura legítima do BigNox distribuiu malware para atualizações específicas. Observamos que essas atualizações maliciosas ocorreram apenas em setembro de 2020.
• Além disso, observamos que, para vítimas específicas, atualizações maliciosas foram baixadas da infraestrutura controlada pelo invasor mais tarde e durante o final de 2020 e início de 2021.
• Estamos muito confiantes de que essas atualizações adicionais foram feitas por Nox.exe fornecimento de parâmetros específicos para NoxPack.exe, o que sugere que o mecanismo da API do BigNox também pode ter sido comprometido para entregar atualizações personalizadas maliciosas.
• Isso também pode sugerir a possibilidade de que as vítimas tenham sido submetidas a um ataque MitM, embora acreditemos que essa hipótese seja improvável, pois as vítimas que descobrimos estão em países diferentes e os atacantes já tinham uma base na infraestrutura do BigNox.
• Além disso, fomos capazes de reproduzir o download das amostras de malware hospedadas em res06.bignox.com a partir de uma máquina de teste e usando https. Isso exclui a possibilidade de um ataque MitM ter sido usado para manipular o binário de atualização.

Eset observou a instalação de três variantes de malware diferentes. Não há sinais de que o malware esteja tentando obter ganhos financeiros em nome dos invasores. Isso levou a empresa de segurança a acreditar que o malware está sendo usado para monitorar alvos.

Sanmillan disse que de mais de 100.000 usuários Eset que têm NoxPlayer instalado, apenas cinco deles receberam uma atualização maliciosa. Os números destacam o quão direcionados são os ataques. Os alvos são Taiwan, Hong Kong e Sri Lanka.

Sanmillan disse que Eset contatou o BigNox com as descobertas e o fabricante do software negou ter sido afetado. Representantes do BigNox não responderam ao e-mail solicitando comentários para esta postagem.

Qualquer pessoa que tenha usado o NoxPlayer nos últimos cinco meses deve reservar um tempo para inspecionar cuidadosamente seus sistemas em busca de sinais de comprometimento. A postagem de segunda-feira fornece uma lista de arquivos e configurações que indicarão quando um computador recebeu uma atualização maliciosa. Embora a postagem de Eset se refira apenas à versão Windows do software, atualmente não há como descartar a possibilidade de que usuários do macOS também tenham sido atacados.