In un nuovo esempio di attacco alla supply chain, un gruppo di hacker presumibilmente cinese si è insinuato in tre videogiochi molto diffusi in Asia e ha inserito una backdoor nei rispettivi programmi. I ricercatori di ESET spiegano come il gruppo di hacker sia riuscito a infettare due giochi e una piattaforma di gaming, colpendo migliaia di utenti.
In ognuno dei casi il malware presentava configurazioni diverse, ma il codice della backdoor era lo stesso per tutti e tre i videogiochi, così come il sistema di lancio. ESET è riuscita a contattare due delle tre aziende per rimuovere la minaccia, ma il terzo gioco – che ironicamente si chiama Infestatio – distribuisce ancora gli eseguibili infetti.
Il malware per la supply chain: come funziona
Curiosamente, il malware prima di colpire il PC dell’utente controlla se la lingua del sistema sia il russo o il cinese, e in caso affermativo smette di funzionare per evitare di estendersi a quelle determinate aree geografiche. Gli eseguibili compromessi avviano il payload del malware su un sistema compromesso prima di qualsiasi altro componente.
Durante l’analisi, i ricercatori di ESET hanno rilevato in the wild cinque versioni del payload dannoso, utilizzando file di configurazione simili contenenti un URL del server C&C, un tempo di attesa pre configurato per ritardare l’esecuzione, una stringa contenente il nome della campagna e un elenco di file eseguibili che portano alla chiusura della backdoor.
Se la backdoor non si spegne dopo il controllo delle soluzioni di sicurezza, genererà un identificatore di bot che racchiude nome utente, nome del computer, versione di Windows e lingua del sistema, inviando tutto ai criminali informatici e aspettando una risposta con i comandi.
Sebbene il malware sia dotato anche di un payload di secondo stadio che si installa come servizio di Windows ed è progettato per auto aggiornarsi, la sua esatta funzione non è ancora nota e il server C&C che usa come parte del processo di aggiornamento automatico non è raggiungibile. Maggiori informazioni sono disponibili a questo indirizzo.