图片-稻子网
图片-稻子网
图片-稻子网
图片-稻子网

在服务器上找不到请求的url-研究人员发现了一种在游戏玩家 PC 上安装恶意软件的供应链攻击形式

研究人员发现了一种软件供应链攻击在服务器上找不到请求的url,用于在在线游戏玩家的计算机上安装监控恶意软件。身份不明的攻击者针对特定用户,这是一个在 PC 和 Mac 上模拟操作系统的软件包。人们主要用它在这些平台上玩手机游戏。该制造商表示,该软件在 150 个国家/地区拥有 1.5 亿用户。

安全公司 Eset 周一表示在服务器上找不到请求的url,一个软件分发系统已被黑客入侵,并被用来向某些用户提供恶意更新。原始更新于去年 9 月通过操纵两个文件交付:主要二进制文件 Nox.exe 和下载更新本身的 .exe。

“我们有足够的证据表明他们的基础设施()被破坏以托管恶意软件,而且他们的 HTTP API 基础设施()可能已经被破坏,在某些情况下,更新程序可能受到攻击,”Eset 恶意软件研究人员说。攻击者控制的服务器下载了一个额外的有效载荷。这表明 API 回复中提供的 URL 字段已被攻击者篡改。”

简而言之,攻击是这样进行的:在启动时,Nox.exe 向编程接口发送请求以查询更新的信息。API 服务器响应更新信息,其中包括合法更新的 URL。Eset 推测合法更新可能已被恶意软件取代,或者引入了新的文件名或 URL。

然后,恶意软件安装在目标机器上。恶意文件不像合法更新那样经过数字签名。这意味着软件构建系统没有受到损害,只有提供更新的系统受到损害。恶意软件在目标计算机上执行有限的侦察。攻击者可以进一步定制针对特定目标的恶意更新。

API 服务器使用指向攻击者控制的服务器上的恶意更新位置的更新信息来响应特定目标。观察到的入侵流如下图所示。合法的基础设施正在为特定更新提供恶意软件。我们观察到这些恶意更新仅发生在 2020 年 9 月。它说,在安装它的 100,000 多名 Eset 用户中,只有五个收到了恶意更新。这些数字强调了攻击的针对性。目标是台湾、香港和斯里兰卡。

图片[1]-在服务器上找不到请求的url-研究人员发现了一种在游戏玩家 PC 上安装恶意软件的供应链攻击形式-稻子网

© 版权声明
THE END
喜欢就支持一下吧
点赞0 分享
评论 抢沙发
头像
欢迎您留下宝贵的见解!
提交
头像

昵称

取消
昵称表情代码图片