Desarrolladores de videojuegos asediados por ataques cibernéticos que buscan saquear dinero del juego


Los desarrolladores de videojuegos están siendo atacados por el Grupo Winnti potencialmente en la búsqueda de dinero y recompensas en el juego.

El miércoles, la firma de seguridad cibernética ESET lanzó un informe en el grupo de amenazas persistentes avanzadas (APT), que ha sido sorprendido realizando ataques similares en el pasado.

Según el equipo, el Grupo Winnti ha estado utilizando un nuevo malware modular en los sistemas de varios desarrolladores de juegos multijugador masivo en línea (MMO) ubicados en Corea del Sur y Taiwán.

Las compañías, aunque no tienen nombre, han diseñado juegos para miles de personas en todo el mundo.

ESET dice que al menos en una campaña, los actores de la amenaza pudieron comprometer el servidor de orquestación de compilación de un desarrollador, lo que les dio las claves para los sistemas de compilación automatizados.

A su vez, esto puede haber llevado a que los ejecutables descargables del videojuego sean secuestrados o troyanizados, aunque el equipo no pudo encontrar ninguna evidencia de esta forma de ataque.

En cambio, el grupo parece centrarse en comprometer los servidores del desarrollador del juego para «manipular las monedas del juego para obtener ganancias financieras», dice ESET.

El malware en uso se ha llamado PipeMon, una puerta trasera modular que se hace pasar por un computer software de procesamiento de impresión.

Ver también: Este troyano secuestra su teléfono inteligente para enviar mensajes de texto ofensivos

Firmado con un certificado Wemade IO robado, la puerta trasera contiene módulos DLL que se cargan utilizando una técnica de carga reflexiva.

La nueva puerta trasera se encontró junto con el malware Winnti visto anteriormente, un creador de credenciales personalizado, el abuso de una variedad de herramientas de código abierto y referencias a servidores de comando y manage (C2) que pertenecen al Grupo Winnti.

Se han encontrado dos versiones de PipeMon, la primera de las cuales carecía de un instalador. Sin embargo, la segunda y última compilación reveló un instalador en el que se instala un cuentagotas en el directorio de Procesadores de impresión de Home windows. Se registra una DLL maliciosa y PipeMon reinicia el servicio de cola de impresión para mantener la persistencia en el inicio, antes de escribir módulos adicionales y ejecutables maliciosos en un directorio de archivos temporal.

Una carga útil cifrada se desempaqueta y se asigna al registro antes de establecer contacto con un C2. La información del sistema, incluido el nombre de la computadora, la dirección IP y la versión del sistema operativo, se recolecta y se envía al C2 mediante el cifrado RC4. PipeMon también establece canales de comunicación separados para cada módulo malicioso.

La segunda versión de PipeMon es identical a la unique pero solo escribe el instalador DLL principal en el disco, con módulos almacenados en el registro por el instalador.

«Este nuevo implante muestra que los atacantes están desarrollando activamente nuevas herramientas utilizando múltiples proyectos de código abierto y no confían únicamente en sus puertas traseras insignia, ShadowPad y Winnti», dijo el investigador de ESET Mathieu Tartare.

CNET: Cronología de prohibición de Huawei: empresa china critica nuevos controles de exportación de EE.UU. &#39perniciosos&#39

El Grupo Winnti se descubrió por primera vez en 2012. También conocido como APT41, BARIUM y Blackfly, el grupo de amenaza se ha vinculado previamente a un ataque contra Gravity, una compañía de juegos de Corea del Sur, así como a múltiples campañas contra vendedores de juegos en 2019.

ESET agregó que la APT es probablemente responsable de una serie de ataques de la cadena de suministro que conducen a la distribución de software program troyanizado, como en los casos de CCleaner en 2017 y ASUS LiveUpdate en 2019.

«Múltiples indicadores nos llevaron a atribuir esta campaña al Grupo Winnti», dijo Tartare. «Algunos de los dominios C2 utilizados por PipeMon fueron utilizados por el malware Winnti en campañas anteriores. Además, en 2019 se encontró otro malware Winnti en algunas de las mismas compañías que luego se descubrió que estaban comprometidas con PipeMon en 2020».

TechRepublic: Pandemia productiva: las búsquedas de cursos en línea gratuitos han aumentado un 309%

ESET se ha puesto en contacto con las empresas afectadas y les ha ayudado a iniciar el Grupo Winnti desde servidores infectados. Además, el emisor del certificado robado lo ha revocado.

En otras noticias de seguridad de este mes, los investigadores de Cisco Talos han documentado la aparición de WolfRAT, el malware Android basado en DenDroid que ha sido rastreado en ataques contra hablantes tailandeses. Los investigadores sospechan una conexión con el vendedor de adware Wolf Study.

Cobertura previa y relacionada


¿Tienes una propina? Póngase en contacto de forma segura a través de WhatsApp | Señal al +447713 025 499, o más en Keybase: charlie0




Enlace a la noticia original