Китайская киберпреступная группировка Winnti Group взломала одну игровую платформу и сети двух азиатских производителей компьютерных игр и внедрила в их продукцию бэкдор. В настоящее время два из трех зараженных продуктов уже избавились от бэкдора, сообщают специалисты компании ESET. Тем не менее, третий продукт (игра Infestation от тайваньского разработчика Electronics Extreme) по-прежнему заражен. Infestation рассылает вредоносные обновления, а для загрузки доступна ее инфицированная версия.

Хотя ESET не называет два других продукта, судя по указанному в ее отчете хешу зараженного файла, одним из них является игровая платформа Garena. Название третьего продукта (игры) неизвестно.

Как пояснили исследователи, Winnti Group модифицировала исполняемые файлы трех продуктов одним и тем же способом. Злоумышленники внедрили вредоносный код в главный исполняемый файл. Вредонос запускается для выполнения в памяти ПК и в процессе выполнения защищен шифрованием. Сама игра/игровая платформа при этом работает как ни в чем не бывало. Из этого следует, что злоумышленники модифицировали не исходный код продукта, а только конфигурацию сборки.

Для распространения вредоносной версии продукта Winnti Group использует легитимный механизм рассылки обновлений. Таким образом группировке одним махом удалось заразить огромное число пользователей. С другой стороны, благодаря этому удалось быстро обнаружить вредоносную кампанию и ограничить ее путем отключения взломанного C&C-сервера. То есть, новые пользователи по-прежнему будут загружать зараженную версию, однако бэкдор не сможет подключаться к C&C-серверу за дополнительным вредоносным ПО.

Вредонос способен определять используемый на зараженном хосте язык и в случае обнаружения русского или китайского не запускается.

Источник: securitylab.ru