12/03/19
Китайская киберпреступная группировка Winnti Group взломала одну игровую платформу и сети двух азиатских производителей компьютерных игр и внедрила в их продукцию бэкдор. В настоящее время два из трех зараженных продуктов уже избавились от бэкдора, сообщают специалисты компании ESET. Тем не менее, третий продукт (игра Infestation от тайваньского разработчика Electronics Extreme) по-прежнему заражен. Infestation рассылает вредоносные обновления, а для загрузки доступна ее инфицированная версия.
Хотя ESET не называет два других продукта, судя по указанному в ее отчете хешу зараженного файла, одним из них является игровая платформа Garena. Название третьего продукта (игры) неизвестно.
Как пояснили исследователи, Winnti Group модифицировала исполняемые файлы трех продуктов одним и тем же способом. Злоумышленники внедрили вредоносный код в главный исполняемый файл. Вредонос запускается для выполнения в памяти ПК и в процессе выполнения защищен шифрованием. Сама игра/игровая платформа при этом работает как ни в чем не бывало. Из этого следует, что злоумышленники модифицировали не исходный код продукта, а только конфигурацию сборки.
Для распространения вредоносной версии продукта Winnti Group использует легитимный механизм рассылки обновлений. Таким образом группировке одним махом удалось заразить огромное число пользователей. С другой стороны, благодаря этому удалось быстро обнаружить вредоносную кампанию и ограничить ее путем отключения взломанного C&C-сервера. То есть, новые пользователи по-прежнему будут загружать зараженную версию, однако бэкдор не сможет подключаться к C&C-серверу за дополнительным вредоносным ПО.
Вредонос способен определять используемый на зараженном хосте язык и в случае обнаружения русского или китайского не запускается. Бэкдор заразил ряд систем в России, но только потому, что на них использовался другой язык. Больше всего взломанных систем насчитывается в странах Азии.
