针对 NxxxPlayer 用户的供应链攻击

2021-02-04 09:41:35 0 1824

研究人员发现了一种软件供应链攻击,它被用来在在线游戏玩家的电脑上安装监控恶意软件。不明身份的攻击者针对的是NxxxPlayer的特定用户,NxxxPlayer是一个在PC和Mac上模拟Android操作系统的软件包。人们主要用它来玩这些平台上的移动Android游戏。NxxxPlayer制造商Bigxxxx表示,该软件在150个国家拥有1.5亿用户。

安全公司Eset周一表示,Bigxxxx软件分发系统遭到黑客攻击,并被用来向部分用户提供恶意更新。最初的更新是在去年9月通过操纵两个文件交付的:主Bigxxxx二进制文件Nxxx.exe和下载更新本身的NxxxPack.exe。

Eset恶意软件研究员Ignacio Sanmillan表示:"我们有足够的证据说明Bigxxxx基础设施(res06.bigxxxx.com)被入侵以托管恶意软件,同时也表明他们的HTTP API基础设施(api.bigxxxx.com)可能已经被入侵,在某些情况下,Bigxxxx更新器从攻击者控制的服务器下载了额外的有效载荷。这表明,Bigxxxx API回复中提供的URL字段被攻击者篡改了。"

简而言之,攻击是这样的:在启动时,Nxxx.exe会向一个编程接口发送请求,查询更新信息。Bigxxxx API服务器会响应更新信息,其中包括合法更新的URL。Eset推测,合法的更新可能已经被恶意软件取代,或者,引入了新的文件名或URL。

然后,恶意软件被安装在目标机器上。恶意文件没有像合法更新那样进行数字签名。这说明Bigxxxx软件构建系统并没有被入侵,只有提供更新的系统被入侵。恶意软件会对目标计算机进行有限的侦察。攻击者会进一步将恶意更新定制到特定的感兴趣的目标上。

Bigxxxx API服务器向特定目标响应更新信息,这些信息指向攻击者控制的服务器上的恶意更新位置。观察到的入侵流程如下图所示。合法的Bigxxxx基础设施正在为特定的更新提供恶意软件。我们观察到,这些恶意更新只在2020年9月进行。Sanmillan表示,在安装了NxxxPlayer的10万多名Eset用户中,只有5人收到了恶意更新。这些数字凸显了攻击的针对性。目标位于台湾、香港和斯里兰卡。

关于作者

sealione178篇文章298篇回复

评论0次

要评论?请先  登录  或  注册