網絡安全研究人員今天披露了一種新的針對在線遊戲玩家的供應鏈攻擊,這種攻擊是通過破壞NoxPlayer的更新機制而實現的,NoxPlayer是適用於PC和Mac的免費Android模擬器。
由香港BigNox開發的NoxPlayer是一款Android模擬器,允許用戶在PC上玩手機遊戲,並支持鍵盤,遊戲手柄,腳本錄製和多個實例。據估計有超過150個地區的150萬用戶。
據稱,持續攻擊的最初跡象始於2020年9月,從入侵持續到1月25日發現“明顯惡意活動”,促使安全公司向BigNox報告此事件。
東方聯盟安全研究人員表示:“基於有問題的受感染軟件和已交付的具有監視功能的惡意軟件,我們認爲這可能表明有意對遊戲社區中涉及的目標進行情報收集。”
爲了進行攻擊,NoxPlayer更新機制充當向用戶交付該軟件的木馬版本的載體,這些用戶在安裝後就交付了三種不同的惡意有效負載(例如Gh0st RAT)來監視受害者,捕獲擊鍵並收集敏感信息。
另外,研究人員還發現,BigNox更新程序從威脅參與者控制的遠程服務器上下載了其他惡意軟件二進制文件(例如PoisonIvy RAT)。
安全人員說:“只有在最初的惡意更新之後才發現PoisonIvy RAT處於活動狀態,並從攻擊者控制的基礎架構中下載了它。”
PoisonIvy RAT於2005年首次發佈,已用於多個備受矚目的惡意軟件活動中,尤其是在2011年對RSA SecurID數據的入侵中。
東方聯盟研究人員指出,攻擊背後的運營商違反了BigNox託管惡意軟件的基礎架構,證據表明其API基礎結構可能已經遭到破壞。
研究人員說:“爲了安全起見,以防入侵,請從乾淨的介質中進行標準重新安裝。” “對於未感染NoxPlayer的用戶,在BigNox發送減輕威脅的通知之前,請不要下載任何更新。此外,最佳實踐是卸載軟件。”(歡迎轉載分享)