[ad_1]

خطوط و رنگ ها مانند سکانس Stargate 2001: ادیسه فضایی به نظر می رسند.
بزرگنمایی / تخته با حرکت سرعت و نور.

محققان از حمله به یک زنجیره تامین نرم افزار رونمایی کرده اند که برای نصب بدافزار برای نظارت بر رایانه های گیمرهای آنلاین استفاده می شود.

مهاجمان ناشناخته کاربران منتخب NoxPlayer ، یک بسته نرم افزاری را که از سیستم عامل Android در رایانه های شخصی و مکینتاش شبیه سازی می کند ، هدف قرار می دهند. مردم عمدتا از آن برای انجام بازی های موبایل با Android در این سیستم عامل ها استفاده می کنند. سازنده NoxPlayer BigNox می گوید این نرم افزار 150 میلیون کاربر در 150 کشور دارد.

مسمومیت چاه

شرکت امنیتی Eset روز دوشنبه گفت که سیستم توزیع نرم افزار BigNox هک شده و برای ارائه به روزرسانی های مخرب به کاربران انتخاب شده است. به روزرسانی های اولیه در ماه سپتامبر گذشته با دستکاری دو پرونده انجام شد: باینری اصلی BigNox NoN.exe و NoxPack.exe که خود به روزرسانی را بارگیری کردند.

“Ignacio Sanmilan ، محقق بدافزار Eset می نویسد “در برخی موارد ، بارهای اضافی توسط به روزرسانی BigNox از سرورهای کنترل شده توسط مهاجمان بارگیری می شود. این نشان می دهد که قسمت URL ارائه شده در پاسخ توسط BigNox API توسط مهاجمان جعل شده است. “

به طور خلاصه ، حمله به این صورت عمل می کند: هنگام شروع ، Nox.exe درخواستی را برای درخواست اطلاعات به روزرسانی به رابط برنامه نویسی ارسال می کند. سرور BigNox API با اطلاعات به روز رسانی ، که شامل URL که در آن به روزرسانی قانونی باید وجود داشته باشد ، پاسخ می دهد. Eset پیشنهاد می کند که ممکن است به روزرسانی قانونی با بدافزار جایگزین شده باشد یا در عوض ، نام پرونده یا URL جدیدی وارد شود.

سپس بدافزار بر روی دستگاه مورد نظر نصب می شود. پرونده های مخرب مانند به روزرسانی های قانونی به صورت دیجیتالی امضا نمی شوند. این نشان می دهد که سیستم توسعه نرم افزار BigNox به خطر نیفتاده است. فقط سیستم های تحویل به روز هستند. بدافزار اطلاعات محدودی را در رایانه مورد نظر انجام می دهد. مهاجمان بیشتر به روزرسانی های مخرب را برای اهداف خاص مورد علاقه خود تنظیم می کنند.

سرور BigNox API با اطلاعات به روزرسانی که به محل بروزرسانی مخرب در سرور کنترل شده توسط مهاجمان اشاره می کند ، به یک هدف خاص پاسخ می دهد. جریان ورودی مشاهده شده در زیر نشان داده شده است.

است

محقق بدافزار Eset Sanmillan افزود:

  • زیرساخت های قانونی BigNox بدافزارهایی را برای بروزرسانی های خاص فراهم کرده است. ما متوجه شدیم که این به روزرسانی های مخرب تا سپتامبر 2020 انجام نمی شوند.
  • علاوه بر این ، متوجه شدیم که برای قربانیان خاص ، به روزرسانی های مخرب متعاقباً در اواخر سال 2020 و اوایل سال 2021 از زیرساخت های کنترل شده توسط مهاجمان بارگیری می شوند.
  • ما کاملاً معتقدیم که این به روزرسانی های اضافی توسط Nox.exe ارائه پارامترهای خاص به NoxPack.exe، حاکی از آن است که ممکن است مکانیسم BigNox API برای ارائه به روزرسانی های مخرب سفارشی نیز به خطر بیفتد.
  • همچنین ممکن است قربانیان مورد حمله MitM قرار گرفته باشند ، گرچه ما معتقدیم این فرضیه بعید است ، زیرا قربانیانی که پیدا کردیم در کشورهای مختلف هستند و مهاجمان قبلاً به زیرساخت های BigNox اعتماد کرده بودند.
  • علاوه بر این ، ما می توانستیم بارگیری نمونه های بدافزار میزبانی شده را نیز تکرار کنیم res06.bignox.com از یک دستگاه تست و با استفاده از https. این امکان استفاده از حمله MitM برای دستکاری در پرونده بروزرسانی باینری را از بین می برد.

Eset بر نصب سه نسخه مختلف بدافزار نظارت دارد. هیچ نشانه ای وجود ندارد که هرکدام از بدافزارها از طرف مهاجمان قصد کسب سود مالی را داشته باشند. این امر باعث شد تا شرکت امنیتی به این باور برسد که از بدافزار برای نظارت بر اهداف استفاده می شود.

سانمیلان گفت که از بیش از 100000 کاربر Eset که NoxPlayer را نصب کرده اند ، فقط پنج نفر به روزرسانی مخربی دریافت کرده اند. این اعداد دقیقاً میزان هدف گیری حملات را مشخص می کنند. این اهداف در تایوان ، هنگ کنگ و سریلانکا واقع شده است.

سانمیلان گفت Eset با BigNox با یافته ها تماس گرفته و سازنده نرم افزار تحت تأثیر قرار نگرفت. نمایندگان BigNox به ایمیلی پاسخ نظر ندادند و خواستار نظر در مورد این پست شدند.

هر کسی که در پنج ماه گذشته از NoxPlayer استفاده کرده است باید وقت بگذارد تا سیستم های خود را به دقت بررسی کند تا علائم سازش را پیدا کند. پست دوشنبه لیستی از فایلها و تنظیماتی را نشان می دهد که هنگام دریافت به روزرسانی مخرب رایانه شما نشان داده می شود. در حالی که پست Eset فقط برای نسخه نرم افزار ویندوز اعمال می شود ، در حال حاضر هیچ راهی برای رد احتمال هدف قرار دادن کاربران macOS وجود ندارد.

[ad_2]

منبع: tarjome-news.ir