Hackers

Des chercheurs en cybersécurité ont dévoilé aujourd’hui une nouvelle attaque de la chaîne d’approvisionnement compromettant le mécanisme de mise à jour de NoxPlayer, un émulateur Android gratuit pour PC et Mac.

Surnommé « Opération NightScout« Par la société slovaque de cybersécurité ESET, la campagne de surveillance très ciblée consistait à distribuer trois familles de logiciels malveillants différentes via des mises à jour malveillantes personnalisées à des victimes sélectionnées basées à Taiwan, Hong Kong et Sri Lanka.

NoxPlayer, développé par BigNox basé à Hong Kong, est un émulateur Android qui permet aux utilisateurs de jouer à des jeux mobiles sur PC, avec prise en charge du clavier, de la manette de jeu, de l’enregistrement de scripts et de plusieurs instances. Il est estimé avoir plus de 150 millions d’utilisateurs dans plus de 150 pays.

Auditeur De Mot De Passe

Les premiers signes de l’attaque en cours seraient apparus vers septembre 2020, depuis le moment où le compromis s’est poursuivi jusqu’à ce qu’une « activité explicitement malveillante » ait été découverte cette semaine, ce qui a incité ESET à signaler l’incident à BigNox.

«Sur la base du logiciel compromis en question et du malware livré présentant des capacités de surveillance, nous pensons que cela peut indiquer l’intention de la collecte de renseignements sur les cibles impliquées dans la communauté des joueurs», a déclaré Ignacio Sanmillan, chercheur à ESET.

Publicité

Pour mener à bien l’attaque, le mécanisme de mise à jour de NoxPlayer a servi de vecteur pour fournir des versions trojanized du logiciel aux utilisateurs qui, lors de l’installation, ont livré trois différentes charges utiles malveillantes telles que Gh0st RAT pour espionner ses victimes, capturer des frappes et recueillir des informations sensibles.

Par ailleurs, les chercheurs ont découvert des cas où des logiciels malveillants supplémentaires tels que PoisonIvy RAT ont été téléchargés par le programme de mise à jour BigNox à partir de serveurs distants contrôlés par l’acteur de la menace.

« PoisonIvy RAT n’a été repéré en activité qu’après les mises à jour malveillantes initiales et téléchargé à partir d’une infrastructure contrôlée par l’attaquant », a déclaré Sanmillan.

Première sortie en 2005, PoisonIvy RAT a été utilisé dans plusieurs campagnes malveillantes de haut niveau, notamment lors de la compromission de données RSA SecurID en 2011.

Notant que les chargeurs de logiciels malveillants utilisés dans l’attaque partageaient des similitudes avec celui d’un compromis du site Web du bureau présidentiel du Myanmar en 2018 et d’une violation d’une université de Hong Kong l’année dernière, ESET a déclaré que les opérateurs à l’origine de l’attaque avaient violé l’infrastructure de BigNox pour héberger le malware, avec preuve faisant allusion au fait que son infrastructure API aurait pu être compromise.

« Pour être du bon côté, en cas d’intrusion, effectuez une réinstallation standard à partir d’un support propre », a déclaré Sanmillan. « Pour les utilisateurs NoxPlayer non infectés, ne téléchargez aucune mise à jour tant que BigNox n’a pas envoyé une notification indiquant qu’ils ont atténué la menace. De plus, [the] la meilleure pratique serait de désinstaller le logiciel. « 

Rate this post
Publicité
Article précédentChangements majeurs en 2020 et comment gagner en 2021 [PODCAST]
Article suivantNous offrons une tablette Huawei MediaPad T5
Avatar
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici