研究人员发现了一种供应链攻击形式 在游戏玩家电脑中安装恶意软件

2021年02月03日 02:54 次阅读 稿源:cnBeta.COM 条评论

研究人员发现了一种软件供应链攻击,它被用来在在线游戏玩家的电脑上安装监控恶意软件。不明身份的攻击者针对的是NoxPlayer的特定用户,NoxPlayer是一个在PC和Mac上模拟Android操作系统的软件包。人们主要用它来玩这些平台上的移动Android游戏。NoxPlayer制造商BigNox表示,该软件在150个国家拥有1.5亿用户。

访问:

2021阿里云上云采购季:采购补贴、充值返券、爆款抢先购……

安全公司ESET周一表示,BigNox软件分发系统遭到黑客攻击,并被用来向部分用户提供恶意更新。最初的更新是在去年9月通过操纵两个文件交付的:主BigNox二进制文件Nox.exe和下载更新本身的NoxPack.exe。

Eset恶意软件研究员Ignacio Sanmillan表示:"我们有足够的证据说明BigNox(res06.bignox.com)被入侵以托管恶意软件,同时也表明他们的HTTP API(api.bignox.com)可能已经被入侵,在某些情况下,BigNox更新器从攻击者控制的服务器下载了额外的载荷。这表明,BigNox API回复中提供的URL字段被攻击者篡改了。"

Figure-5.-NoxPlayer-execution-chain-on-update.png

攻击流程是这样的:在启动时,Nox.exe会向一个编程接口发送请求,查询更新信息。BigNox API服务器会响应更新信息,其中包括合法更新的URL。Eset推测,合法的更新可能已经被恶意软件取代,或者,引入了新的文件名或URL。

Figure-7.-Intrusion-flow-sequence-diagram.png

然后,恶意软件被安装在目标机器上。恶意文件没有像合法更新那样进行数字签名。这说明BigNox软件构建系统并没有被入侵,只有提供更新的系统被入侵。恶意软件会对目标计算机进行有限的侦察。攻击者会进一步将恶意更新定制到特定的感兴趣的目标上。

BigNox API服务器向特定目标响应更新信息,这些信息指向攻击者控制的服务器上的恶意更新位置。观察到的入侵流程如下图所示。合法的BigNox基础设施正在为特定的更新提供恶意软件。我们观察到,这些恶意更新只在2020年9月进行。Sanmillan表示,在安装了NoxPlayer的10万多名Eset用户中,只有5人收到了恶意更新。这些数字凸显了攻击的针对性。目标位于台湾、香港和斯里兰卡。

更新:

在ESET的报告发表后,BigNox与其取得了联系,表示他们最初否认泄密事件是他们的一个误解,此后他们采取了这些措施来提高用户的安全性:

只使用HTTPS来提供软件更新,以减少域名劫持和中间人(MitM)攻击的风险。

利用MD5散列和文件签名检查实现文件完整性验证

采取额外的措施,特别是对敏感数据进行加密,以避免用户的个人信息外泄。

BigNox还表示,他们已经将最新的文件推送到NoxPlayer的更新服务器上,并且NoxPlayer在启动时会对用户机器上之前安装的应用文件进行检查。

注:ESET表示对BigNox提供的信息的准确性不承担任何责任。

对文章打分

研究人员发现了一种供应链攻击形式 在游戏玩家电脑中安装恶意软件

1 (33%)
已有 条意见

    最新资讯

    加载中...

    今日最热

    加载中...

    热门评论

      Top 10

      招聘


      Advertisment ad adsense googles cpro.baidu.com
      created by ceallan