Los hackers infectan a múltiples desarrolladores de juegos con malware avanzado

Los hackers infectan a múltiples desarrolladores de juegos con malware avanzado

Bloomberg | imágenes falsas

Uno de los grupos de piratería más prolíficos del mundo recientemente infectó a varios creadores de juegos en línea multijugador masivo, una hazaña que permitió a los atacantes enviar aplicaciones contaminadas con malware a los usuarios de un objetivo y robar monedas de juego de los jugadores de un segundo. víctima.

Investigadores de la empresa de seguridad eslovaca ESET han vinculado los ataques a Winnti, un grupo que ha estado activo desde al menos 2009 y se cree que ha llevado a cabo cientos de ataques en su mayoría avanzados. Entre los objetivos estaban periodistas chinos, activistas uigures y tibetanos, el gobierno tailandés y las principales organizaciones tecnológicas. Winnti ha sido vinculado al hack de 2010 que robó datos confidenciales de Google y otras 34 compañías. Más recientemente, el grupo ha estado detrás del compromiso de la plataforma de distribución CCleaner que ha impulsado actualizaciones maliciosas a millones de personas. Winnti realizó un ataque por separado en la cadena de suministro que instaló una puerta trasera en 500,000 PC ASUS.

El reciente ataque utilizó una puerta trasera nunca antes vista que ESET apodó PipeMon. Para escapar de las defensas de seguridad, los instaladores de PipeMon usaron el imprimatur de un certificado de firma legítimo de Windows que fue robado por Nfinity Games durante un hack de 2018 por el desarrollador del juego. La puerta trasera, que toma su nombre de las múltiples tuberías utilizadas por un módulo para comunicarse con otro y del nombre del proyecto Microsoft Visual Studio utilizado por los desarrolladores, utilizó la posición de los procesadores de impresión de Windows para poder sobrevivir a los reinicios. Los representantes de Nfinity no estuvieron disponibles de inmediato para comentar.

Un esquema PipeMon
Acercarse / / Un esquema PipeMon

ESET

Un juego extraño

En una publicación publicada la madrugada del jueves, ESET reveló poco sobre las compañías infectadas, excepto para decir que incluyeron a varios desarrolladores de juegos MMO con sede en Corea del Sur y Taiwán que están disponibles en plataformas de juegos populares y tienen miles de jugadores simultáneos.

«En al menos un caso, los operadores de malware comprometieron el sistema de construcción de una víctima, lo que podría haber llevado a un ataque en la cadena de suministro, permitiendo a los atacantes ejecutar el troyano ejecutable del juego», escribieron los investigadores. ESET «En otro caso, los servidores del juego se vieron comprometidos, lo que podría haber permitido a los atacantes, por ejemplo, manipular las monedas del juego para obtener ganancias financieras». Los investigadores dijeron que no tenían evidencia de una manera u otra de que ocurriera un resultado.

La capacidad de obtener un acceso tan profundo a al menos dos de los últimos objetivos es un testimonio de la habilidad de los miembros de Winnti. El robo del certificado de Nfinity Games durante un ataque de la cadena de suministro de 2018 a una cosecha diferente de creadores de juegos es otra. Sobre la base de los objetivos de Winnti de personas y organizaciones, los investigadores vincularon al grupo con el gobierno chino. A menudo, los piratas informáticos se dirigen a los servicios de Internet y los desarrolladores de software y juegos con el objetivo de utilizar los datos robados para atacar mejor a los objetivos finales.

Fraude certificado

Windows requiere firmar el certificado antes de que los controladores de software puedan acceder al núcleo, que es la parte más crítica de la seguridad de cualquier sistema operativo. Los certificados, que deben obtenerse de las autoridades confiables de Windows después de que los compradores demuestren que son vendedores legítimos de software, también pueden ayudar a evitar los antivirus y otras protecciones de punto final. Como resultado, los certificados son saqueos frecuentes en violaciones.

A pesar del robo resultante de un ataque de 2018, el propietario del certificado no lo revocó hasta que ESET le informó sobre el abuso. Tudor Dumitras, coautor de un documento de 2018 que estudió los compromisos de los certificados codificados, descubrió que no era inusual ver largas demoras en los retiros, particularmente en comparación con los certificados TLS utilizados para los sitios web. para publicar abiertamente certificados web, es mucho más fácil rastrear e identificar robos. No es así con los certificados de firma de código. Dumitras explicó en un correo electrónico:

Esto se debe en gran parte al hecho de que, a diferencia de la PKI web, la PKI de firma de código es opaca: nadie tiene visibilidad sobre qué certificados están actualmente en uso, ya que los certificados de firma de código se pueden encontrar en los ejecutables presentes en el hospeda en todo el mundo y no se puede recopilar mediante escaneos de Internet. Esto hace que sea difícil descubrir certificados comprometidos, especialmente aquellos utilizados en ataques dirigidos. Hemos estimado que incluso un gran proveedor de AV como Symantec puede observar solo alrededor del 36.5% de los certificados potencialmente comprometidos (nuestro documento fue publicado en 2018, antes de la división de las actividades comerciales y de clientes de Symantec).

El número de desarrolladores de juegos MMO en Corea del Sur y Taiwán es alto, y más allá de eso, no hay forma de saber si los atacantes usaron su inicio de sesión para abusar realmente de software o servidores de juegos. Esto significa que los usuarios finales pueden hacer poco o nada para averiguar si se han visto afectados. Dados los éxitos anteriores de Winnti, no es posible excluir la posibilidad.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *