Il team di ESET ha appena scoperto una nuova minaccia informatica in seguito ad un attacco cybernetico alla catena di distribuzione di tre importanti videogames molto diffusi in Asia. I ricercatori del noto antivirus spiegano come il gruppo di cracker sia riuscito a infettare due giochi ed una piattaforma di gaming, colpendo così centinaia di migliaia di utenti.
In ognuno dei casi il sistema di lancio è lo stesso: durante l’avvio del videogame o l’accesso alla piattaforma, l’eseguibile si collega ai server della software house e scarica il codice malevolo in locale. I file compromessi, necessari all’utilizzo dei videogames, in questo caso, sono in grado di eseguire due importanti (e dannose) operazioni:
- la prima, stabilire una connessione con un server presso cui inviare i dati;
- la seconda, raccogliere i dati da inviare, ad esempio nome utente, password di accesso, nome del computer
Un sistema geolocalizzato che ha avuto inizio dalla software house
Esaminiamo più nel dettaglio il rapporto dei ricercatori ESET.
Dalle indagini risulta che il malware presenta configurazioni diverse per ognuno dei 3 casi, ma con solito codice della backdoor e sistema di lancio. Questo significa che l’infezione avviene in seno alle case madri, infatti i tecnici parlano di attacco alla “supply-chain”, ovvero attacco alla gestione della catena di distribuzione.
Proprio per questo motivo la diffusione è divenuta virale nel giro di breve tempo: se i pirati informatici avessero sfruttato una falla sulle singole postazioni utenti, la minaccia sarebbe stata rilevata molto prima, non intaccando l’intero sistema di distribuzione delle software house coinvolte.
L’utente finale quindi, ignaro di tutto, avvia il videogame od effettua l’accesso alla piattaforma di gaming, scaricando dalla software house l’eseguibile infetto. Prima ancora dell’avvio del gioco, il programma stabilisce una connessione su di un server attraverso una porta nascosta.
In questa operazione il malware verifica che il canale trasmissivo sia stabile e non faccia scattare alcuna contromisura. Dopodiché il software genera un file contenente una serie di dati tra cui: nome utente, password, nome del computer, versione e lingua del sistema operativo, ecc. A questo punto tutto il pacchetto viene spedito ai malintenzionati in attesa di ulteriori istruzioni telematiche.
Nel caso in cui vogliate approfondire l’argomento in termini più tecnici vi riportiamo il comunicato ufficiale di ESET.
File eseguibile compromessoNel restringere il campo di ricerca dell’infezione il team ha riscontrato una procedura “curiosa”
Prima di colpire il PC dell’utente, il virus esegue un controllo sulla lingua del sistema. Nel caso corrisponda a cinese o russo la contaminazione si arresta immediatamente, nel tentativo di evitare di estendersi a quelle determinate aree geografiche.
Questo dato non è necessariamente vincolante, ma può indicare un modus operandi comune ad altre minacce. Grazie a questo fattore, si possono testare soluzioni adottate in altri ambiti simili, rendendo così il processo di intervento più veloce.
[amazon_link asins=’B01N7MCOKG,B07FDTDR9J,B07FDVKWM1′ template=’ProductCarousel’ store=’gamspri02-21′ marketplace=’IT’ link_id=’64de02c7-d295-459b-82b8-b68c25075394′]