Posté le février 3, 2021 à 13:52
L’ÉMULATEUR ANDROID DE NOXPLAYER COMPROMIS PAR TROIS VARIANTES DE LOGICIELS MALVEILLANTS
Les chercheurs en cybersécurité d’ESET ont découvert une nouvelle attaque de la chaîne logistique qui compromet un émulateur Android populaire dans le processus de mise à jour de NoxPlayer.
Il y a plus de 150 000 utilisateurs de NoxPlayer dans une centaine de pays. L’outil est principalement utilisé par les utilisateurs de jeux vidéo sur les appareils mobiles qui cherchent à apporter l’expérience du jeu à leur PC.
Les chercheurs ont déclaré que les acteurs malveillants ont réussi à injecter des logiciels malveillants chez un petit nombre d’utilisateurs en Asie. ESET a déclaré avoir découvert cinq systèmes infectés provenant de pays tels que le Sri Lanka, Hong Kong, Taïwan et la Syrie.
Mais il y a une forte propension à ce que davantage de victimes soient compromises à partir de la région.
L’attaque visait BigNox, une entreprise qui fabrique NoxPlayer, un logiciel client utilisé pour émuler des applications Android sur les ordinateurs de bureau MacOS ou Windows.
Selon ESET, un hacker a pénétré dans l’un des serveurs d’hébergement de fichiers de la société et dans l’API officielle (api.bignox.com). Après avoir obtenu l’accès, les acteurs malveillants ont implanté un logiciel malveillant dans les utilisateurs de NoxPlayer en modifiant l’URL de téléchargement des mises à jour de NoxPlayer dans le serveur de l’API.
Les attaquants ont utilisé trois variantes différentes de logiciels malveillants
Les chercheurs d’ESET, qui ont baptisé la campagne de piratage « Operation NightScout », ont indiqué que les acteurs malveillants utilisaient environ trois variantes différentes du logiciel malveillant. Cependant, les chercheurs pensent qu’il pourrait s’agir d’une campagne d’espionnage, car les hackers n’en tirent aucun avantage financier.
« Trois différentes familles de logiciels malveillants ont été repérées, distribuées à partir de mises à jour malveillantes personnalisées à des victimes sélectionnées », a déclaré ESET.
ESET a également ajouté quelques détails techniques sur le piratage afin d’informer les utilisateurs généraux d’émulateurs et de leur permettre d’identifier si leur système a été piraté. Les informations fournies peuvent également aider les utilisateurs à supprimer les émulateurs en utilisant leurs méthodes.
Bien que les chercheurs n’aient pas dit si la campagne est liée à un groupe de hackers existant, le rapport a révélé certaines similitudes avec les variantes de logiciels malveillants qui ont infiltré les sites web du gouvernement du Myanmar.
Les attaquants de la chaîne logistique ont amélioré leur jeu ces derniers temps. Mais les chercheurs ont révélé que la variante de logiciel malveillant utilisée dans le cadre de l’Operation NightScout est un peu différente et unique. Selon le rapport, les acteurs malveillants ont utilisé un vecteur inhabituel dans le déploiement des opérations de cyber-espionnage contre les utilisateurs de plateformes numériques.
Une fois que la cible lance l’application, elle reçoit un message qui l’invite à installer l’application malveillante.
La victime est alors incitée à mettre à jour l’application, et ce faisant, le logiciel malveillant est également téléchargé. Par la suite, il devient facile pour le logiciel malveillant de s’infiltrer et de compromettre les systèmes. Le logiciel malveillant est utilisé avec deux chevaux de Troie d’accès à distance, à savoir Poinsonlvy pour l’exfiltration des données et Ghost pour l’enregistrement de frappe.
L’attaque fait l’objet d’une enquête
Des éléments indiquent que les acteurs malveillants ciblent les serveurs de BigNox depuis l’année dernière. Cependant, ESET a révélé que les hackers ne visaient que des machines spécifiques de l’entreprise, et que la majorité des serveurs sont sûrs. Cela suggère que l’attaque était très ciblée pour infecter seulement quelques classes d’utilisateurs.
ESET a déclaré que l’entreprise BigNox, qui était visée, a nié avoir été attaquée récemment. « Nous avons contacté BigNox au sujet de l’intrusion, et ils ont nié avoir été affectés », a déclaré ESET.
Cependant, lorsque la nouvelle a été annoncée, la société a déclaré qu’elle travaillait avec ESET pour enquêter sur l’attaque.
BitNox et ESET ont déclaré avoir constaté des similitudes opérationnelles entre l’attaque actuelle et un autre groupe connu sous le nom de Stellera. Ils disent que le rapport sur leur lien sera bientôt publié.
Une troisième attaque de la chaîne logistique découverte en deux mois
Le dernier incident de piratage est devenu la troisième fois qu’ESET découvre une attaque de la chaîne logistique en deux mois
La première attaque a été le logiciel Able Desktop, qui est utilisé par les agences gouvernementales mongoles. Une autre était le VGCA vietnamien.
La campagne a également été décrite comme l’attaque de SolarWinds, bien qu’aucune relation n’ait été établie entre elles. Elle se propage lors d’une mise à jour du logiciel. Cela signifie que le logiciel malveillant a livré les variantes du logiciel malveillant lorsque les clients de NoxPlayer ont essayé de mettre à jour leur logiciel.
ESET a souligné qu’elle aide actuellement NoXPlayer à mener une enquête plus approfondie et à déterminer comment les serveurs ont été compromis et le meilleur remède à la situation.
