NoxPlayer trở thành công cụ mới cung ứng các cuộc tấn công mạng nhắm vào game thủ

Các chuyên gia bảo mật vừa tiết lộ một chuỗi cung ứng các cuộc tấn công nhắm vào game thủ trực tuyến mới với phiên bản cập nhật mới của phần mềm NoxPlayer, một chương trình giả lập Android trên PCs và máy Mac.

Được gọi là “Operation NightScout” bởi chuyên gia bảo mật của ESET, chiến dịch giám sát nhắm mục tiêu cao liên quan đến việc phát tán ba họ phần mềm độc hại khác nhau thông qua các bản cập nhật độc hại được điều chỉnh cho các nạn nhân được chọn có trụ sở tại Đài Loan, Hồng Kông và Sri Lanka.

NoxPlayer, được phát triển bởi BigNox Hong Kong, là một trình giả lập Android, cho phép người dùng chơi games điện thoại trên PC, với sự hỗ trợ của bàn phím, gamepad, ghi mã và nhiều tính năng khác. Ước tính phần mềm này đã có hơn 150 triệu người dùng trên 150 quốc gia.

Các dấu hiệu đầu tiên của cuộc tấn công đang diễn ra được cho là bắt nguồn từ khoảng tháng 9 năm 2020, từ khi thỏa hiệp tiếp tục cho đến khi "hoạt động độc hại rõ ràng" bị phát hiện vào ngày 25 tháng 1, khiến ESET phải báo cáo sự việc cho BigNox.

Nhà nghiên cứu Ignacio Sanmillan của ESET cho biết: “Dựa trên phần mềm bị xâm phạm đang được đề cập và phần mềm độc hại được phân phối có khả năng giám sát, chúng tôi tin rằng điều này có thể cho thấy mục đích thu thập thông tin tình báo về các mục tiêu liên quan đến cộng đồng game.

Để thực hiện cuộc tấn công, cơ chế cập nhật NoxPlayer đóng vai trò là véc tơ để cung cấp các phiên bản phần mềm đã được trojan hóa cho người dùng, khi cài đặt, phân phối ba tải trọng độc hại khác nhau như Gh0st RAT để theo dõi nạn nhân của nó, nắm bắt các tổ hợp phím và thu thập thông tin nhạy cảm .

Riêng biệt, các nhà nghiên cứu cũng tìm thấy các trường hợp mà các tệp nhị phân phần mềm độc hại bổ sung như PoisonIvy RAT được tải xuống bởi trình cập nhật BigNox từ các máy chủ từ xa do tác nhân đe dọa kiểm soát.

“PoisonIvy RAT chỉ được phát hiện trong hoạt động sau các bản cập nhật độc hại ban đầu và được tải xuống từ cơ sở hạ tầng do kẻ tấn công kiểm soát,” Sanmillan nói.

Được phát hành lần đầu vào năm 2005, PoisonIvy RAT đã được sử dụng trong một số chiến dịch phần mềm độc hại cao cấp, đáng chú ý nhất là trong vụ xâm phạm dữ liệu RSA SecurID năm 2011.

Lưu ý rằng các trình tải phần mềm độc hại được sử dụng trong cuộc tấn công có điểm tương đồng với vụ xâm phạm trang web văn phòng tổng thống Myanmar vào năm 2018 và vụ vi phạm của một trường đại học Hồng Kông vào năm ngoái, ESET cho biết các nhà điều hành đằng sau vụ tấn công đã vi phạm cơ sở hạ tầng của BigNox để lưu trữ phần mềm độc hại, với bằng chứng ám chỉ thực tế rằng cơ sở hạ tầng API của nó có thể đã bị xâm phạm.

"Để an toàn, trong trường hợp bị xâm nhập, hãy thực hiện cài đặt lại tiêu chuẩn từ phương tiện sạch", Sanmillan nói. "Đối với người dùng NoxPlayer chưa bị nhiễm, không tải xuống bất kỳ bản cập nhật nào cho đến khi BigNox gửi thông báo rằng họ đã giảm thiểu mối đe dọa. Hơn nữa, tốt nhất là gỡ cài đặt phần mềm."

Hương – Theo The Hacker News