ALLERTA PERICOLI INFORMATICI

Per gli utenti NoxPlayer emulatore Android : non scaricare alcun aggiornamento finché BigNox non invia la notifica di aver mitigato la minaccia

Per gli utenti NoxPlayer emulatore Android : non scaricare alcun aggiornamento finché BigNox non invia la notifica di aver mitigato la minaccia
Scritto da gestore

I ricercatori della sicurezza informatica hanno rivelato oggi un nuovo attacco alla catena di fornitura rivolto ai giocatori online compromettendo il meccanismo di aggiornamento di NoxPlayer, un emulatore Android gratuito per PC e Mac.

Soprannominata ” Operazione NightScout ” dalla società di sicurezza informatica slovacca ESET, la campagna di sorveglianza altamente mirata prevedeva la distribuzione di tre diverse famiglie di malware tramite aggiornamenti dannosi su misura a vittime selezionate con sede a Taiwan, Hong Kong e Sri Lanka.

Intermezzo promozionale ... continua la lettura dopo il box:

NoxPlayer, sviluppato da BigNox con sede a Hong Kong, è un emulatore Android che consente agli utenti di giocare a giochi mobili su PC, con supporto per tastiera, gamepad, registrazione di script e più istanze. Si stima che abbia oltre 150 milioni di utenti in più di 150 paesi.

Si dice che i primi segni dell’attacco in corso abbiano avuto origine intorno a settembre 2020, da quando la compromissione è proseguita fino a quando “attività esplicitamente dannosa” è stata scoperta il 25 gennaio, spingendo ESET a segnalare l’incidente a BigNox.

“Sulla base del software compromesso in questione e del malware fornito che mostra capacità di sorveglianza, riteniamo che questo possa indicare l’intento della raccolta di informazioni sugli obiettivi coinvolti nella comunità dei giochi”, ha affermato il ricercatore ESET Ignacio Sanmillan.

Per eseguire l’attacco, il meccanismo di aggiornamento di NoxPlayer è servito come vettore per fornire versioni trojan del software agli utenti che, al momento dell’installazione, consegnavano tre diversi payload dannosi come Gh0st RAT per spiare le sue vittime, acquisire sequenze di tasti e raccogliere informazioni sensibili .

Separatamente, i ricercatori hanno anche trovato casi in cui sono stati scaricati binari di malware aggiuntivi come PoisonIvy RAT dal programma di aggiornamento di BigNox da server remoti controllati dall’attore della minaccia.

“PoisonIvy RAT è stato individuato in attività solo dopo gli aggiornamenti dannosi iniziali e scaricato dall’infrastruttura controllata dagli aggressori”, ha affermato Sanmillan.

Rilasciato per la prima volta nel 2005, PoisonIvy RAT è stato utilizzato in diverse campagne di malware di alto profilo, in particolare nella compromissione dei dati RSA SecurID del 2011.

Intermezzo promozionale ... continua la lettura dopo il box:

Notando che i caricatori di malware utilizzati nell’attacco condividevano somiglianze con quella di una compromissione del sito Web dell’ufficio presidenziale del Myanmar nel 2018 e una violazione di un’università di Hong Kong lo scorso anno, ESET ha affermato che gli operatori dietro l’attacco hanno violato l’infrastruttura di BigNox per ospitare il malware, con prove che alludono al fatto che la sua infrastruttura API potrebbe essere stata compromessa.

“Per essere al sicuro, in caso di intrusione, eseguire una reinstallazione standard da supporti puliti”, ha detto Sanmillan. “Per gli utenti NoxPlayer non infetti, non scaricare alcun aggiornamento finché BigNox non invia la notifica di aver mitigato la minaccia. Inoltre, [la] migliore pratica sarebbe disinstallare il software.”

https://thehackernews.com/2021/02/a-new-software-supplychain-attack.html