ESET сообщила о новой атаке хакерской группировки Winnti, нацеленной на азиатских геймеров. Для распространения скомпрометированных версий игрового ПО злоумышленники использовали легитимный механизм рассылки обновлений, при этом вредоносный код был внедрен в исполняемые файлы. Запуск бэкдора происходил в оперативной памяти, а сам процесс был защищен шифрованием.
Бэкдор запускался перед началом игры; вредоносная программа никак себя не выдавала — игра не прерывалась, и геймеры ни о чем не подозревали. Это говорит о том, что злоумышленники модифицировали конфигурацию сборки, а не исходный код. Примечательно, что перед запуском вредоносная программа проверяла языковые настройки ОС — на системах с русским или китайским языками бэкдор просто не запускался. Подавляющее большинство заражений, около 55%, пришлось на Таиланд. Также пострадали Филиппины и Тайвань.
После обнаружения атаки ESET связалась с разработчиками скомпрометированного ПО, на данный момент они удалили бэкдоры в двух продуктах. Однако игра Infestation (по иронии, название переводится как «заражение») по-прежнему рассылает своим пользователям вредоносные обновления. Ранее Winnti уже была замечена за атаками на цепочки поставок — их сложно обнаружить на стороне пользователя, т.к. пользователь по умолчанию доверяет разработчикам своего ПО и устанавливает предлагаемые ими обновления.
Однако у такой тактики есть и очевидный недостаток — как только вредоносная кампания будет обнаружена, киберпреступники потеряют контроль над ботнетом, а пользователи смогут избавиться от зараженного ПО.
