in , , ,

ESET descubre ciber espionaje en videojuegos online


ESET, compañía de detección proactiva de amenazas, descubrió un ataque de cadena de suministro; en el que se comprometía el mecanismo de actualización de NoxPlayer, un emulador de Android para PC y Mac que forma parte de la gama de productos de BigNox. Este software es para poder jugar videojuegos para dispositivos móviles desde computadoras, lo que hace que este incidente sea algo inusual.

“Se identificaron tres familias de malware diferentes que se distribuían a partir de actualizaciones maliciosas personalizadas a víctimas seleccionadas, sin señales de que se persiga una ganancia financiera, sino a capacidades relacionadas con el monitoreo o vigilancia.”. Comentó Ignacio Sanmillan, Malware Researcher de ESET. 

Los investigadores detectaron similitudes entre algunos de los loaders utilizados en esta operación con otros monitoreados en el pasado; como los que descubrieron en un sitio web de la oficina presidencial de Myanmar en 2018, y a principios de 2020 en una intrusión que afectó a una Universidad de Hong Kong.

De acuerdo con la telemetría de ESET, los primeros indicadores de compromiso fueron en septiembre de 2020. Pero fue hasta el día 25 de enero de 2021, que se detectó correctamente y se informó del incidente a BigNox.

En comparación con el número total de usuarios activos de NoxPlayer, el número de víctimas es pequeño, lo que demuestra que Operación NightScout es una operación altamente dirigida. No pudimos encontrar correlaciones que sugirieran algún tipo de vínculo entre las víctimas. Sin embargo, según el software comprometido y el malware que exhibe capacidades de vigilancia, puede indicar la intención de recopilar información sobre objetivos involucrados en la comunidad gamer. Las víctimas están ubicadas en Taiwán, Hong Kong y Sri Lanka.”, agrega el investigador de ESET.

Durante 2020, el equipo de investigación de ESET, informó acerca de varios ataques de cadena de suministro.
  • Como el caso de WIZVERA VeraPort, utilizado por sitios web gubernamentales y bancarios en Corea del Sur
  • Operación StealthyTrident en el que se comprometió el software de chat Able Desktop utilizado por varias agencias gubernamentales de Mongolia.
  • Y Operación SignSight, en el que se comprometió la distribución de un software de firma, distribuido por el gobierno vietnamita.

“Hemos detectado varios ataques de cadena de suministro en el último año, como Operación SignSight o el compromiso de Able Desktop, entre otros. En el caso de Operación NightScout el compromiso de la cadena de suministro es particularmente interesante debido a los blancos de ataque, ya que rara vez encontramos muchas operaciones de ciberespionaje dirigidas a jugadores de videojuegos en línea. Los ataques de cadena de suministro seguirán siendo un vector de compromiso aprovechado por los grupos de ciberespionaje, y su complejidad puede afectar el descubrimiento y la mitigación de este tipo de incidentes.”. Concluye Ignacio Sanmillan, Malware Researcher de ESET.

Si bien ESET contactó a BigNox al identificar la intrusión. Al principio dijeron que no fueron afectados. Pero tras la publicación de la investigación aclararon que la negación inicial del compromiso era un malentendido de su parte.

Además, sostienen que tomaron recaudos para mejorar la seguridad de sus usuarios como el usar solo HTTPS para el envío de actualizaciones de software, la implementación de la verificación de la integridad de los archivos mediante hash MD5 y la comprobación de firmas de archivos, y la adopción de medidas adicionales, especialmente el cifrado de datos sensibles. Vale aclarar que ESET no asume ningún tipo de responsabilidad por la precisión de la información proporcionada por BigNox.

Aquí ESET nos muestra como saber y que hacer en caso de ser víctimas:
  • ¿A quién afecta?: Usuarios de NoxPlayer.
  • ¿Cómo determinar si se recibió una actualización maliciosa o no?Verificar si algún proceso en curso tiene una conexión de red activa con servidores de C&C conocidos activos. O revisar si alguno de los malware basados en los nombres de archivo proporcionados en el reporte está instalado en: C:\ProgramData\Sandboxie\SbieIni.dat; C:\ProgramData\Sandboxie\SbieDll.dll; C:\ProgramData\LoGiTech\LBTServ.dll; C:\Program Files\Internet Explorer\ieproxysocket64.dll; C:\ProgramFiles\InternetExplorer\ieproxysocket.dll;unarchivonombrado %LOCALAPPDATA%\Nox\update\UpdatePackageSilence.exe sin la firma digital por parte de BigNox.
  • ¿Cómo estar protegido?:
    • En caso de intrusión – Realizar reinstalación estándar desde un medio limpio.
    • Para usuarios que no han sido comprometidos: No descargar ninguna actualización hasta que BigNox notifique que ha mitigado la amenaza.

En este contexto, bajo el lema #JuegaLivianoCompiteSeguro, ESET anunció su partnership 2021 con LVP (Liga de Videojuegos Profesional), donde acompañará a la mayor competición de League of Legends de Argentina y México.

El gaming y los esports tienen cada vez más importancia en la región y es por eso que los cibercriminales ponen mayor foco en esta industria. Desde ESET se busca seguir protegiendo y concientizando a la comunidad gamer en temas relacionados a seguridad de su información. Las transmisiones de la liga son todos los miércoles, jueves y viernes por los canales locales de LVP en Twitch y YouTube.


Repórtalo

¿Cuál es tu voto?

Escrito por Jimena González

Estudiante de comunicación. Entusiasta de los videojuegos y la cultura pop.

Televisa, MSCI y Actinver; columna de @robertoah Aguilar en El Sol de México

https://www.contrareplica.mx/autor-188-HugoGonzalez

CFE y el engaño energético, columna de @hugonzalez0