Gamers σε ορισμένες χώρες της Ασίας έγιναν στόχος από κυβερνοεγκληματίες οι οποίοι τοποθέτησαν ένα Trojan απομακρυσμένης πρόσβασης (RAT) στις επίσημες εκδόσεις των online παιχνίδιων League of Legends (LoL) και Path of Exile (PoE).
Ένα κακόβουλο λογισμικό γνωστό ως PlugX παρατηρήθηκε ότι εγκαθισταται, όταν οι χρήστες προσπαθούν να εγκαταστήσουν ένα από τα δύο παιχνίδια, ή να τα αναβαθμίσουν.
Η απειλή έχει σχεδιαστεί για να αποσπάσει πληροφορίες από τον υπολογιστή του χρήστη και να το μεταφορτώσει σε έναν απομακρυσμένο server. Μια άλλη δυνατότητα του PlugX είναι μπορεί να κατεβάσει άλλα κακόβουλα αρχεία.
Σύμφωνα με τους ερευνητές ασφαλείας της Trend Micro, οι αλλοιωμένες εκδόσεις των παιχνιδιών εντοπίστηκαν στον ασιατικό πάροχο Garena.
Η Garena επιβεβαίωσε ότι όλα τα αρχεία εγκατάστασης για το LoL και το PoE μολύνθηκαν, καθώς συστήματά τους, συμπεριλαμβανομένων των patch servers, έχουν παραβιαστεί από άγνωστους εισβολείς και έχουν μολυνθεί από malware.
Ο πάροχος δήλωσε επίσης ότι, μόλις ενημερώθηκαν για την κατάσταση, πραγματοποίησαν άμεσα έλεγχο και πλέον τα συστήματα τους έχουν καθαριστεί.
Η Trend Micro αναφέρει ότι όταν ένας κακόβουλος game launcher εγκατασταθεί στον υπολογιστή ενός χρήστη, θα μεταφέρει στην πραγματικότητα τρία αρχεία. Το ένα είναι το νόμιμο πρόγραμμα εγκατάστασης του παιχνιδιού, το δεύτερο είναι ένα κακόβουλο αρχείο που προσθέτει το PlugX στο σύστημα, ενώ ένα τρίτο είναι υπεύθυνο για την απομάκρυνση των ιχνών της παραβίασης αντικαθιστώντας το μολυσμένο launcher με το νόμιμο.
Στηριζόμενοι στην εν λόγω μέθοδο, οι εγκληματίες του κυβερνοχώρου θα απέκρυπταν τη μόλυνση, δεδομένου ότι μια τοπική σάρωση του υπολογιστή θα έδειχνε ένα καθαρό game launcher.
Οι ερευνητές ασφαλείας παρατήρησαν κάτι σημαντικό, κατά την ανάλυσή τους. “Κατά τον έλεγχο του πιστοποιητικού, παρατηρήσαμε ότι το hash value που εφαρμόζεται στον ύποπτο αρχείο ήταν έγκυρο, πράγμα που σημαίνει ότι το “signing tool” χρησιμοποιήθηκε για τη σύζευξη με το binary hash του μολυσμένου αρχείου. Το καθαρό game launcher, από την άλλη πλευρά, έχει μια μη έγκυρη ψηφιακή υπογραφή», έγραψε σε ένα blog post o Benson Sy, αναλυτής της Trend Micro.
Σύμφωνα με τα δεδομένα τηλεμετρίας από τον προμηθευτή λογισμικού αντιμετώπισης ιών, η περισσότερο πληγείσα χώρα είναι η Ταϊβάν, αντιπροσωπεύοντας το 82,59% των μολύνσεων. Οι χρήστες στη Σιγκαπούρη, την Ταϊλάνδη, τη Μαλαισία και το Χονγκ Κονγκ είχαν επίσης επηρεαστεί, αλλά σε πολύ μικρότερο βαθμό, κάτω από 6,20%.
Αυτή τη στιγμή, οι χρήστες που υποψιάζονται πως έχουν μολυνθεί με το PlugX μπορούν να χρησιμοποιήσουν ένα εργαλείο καθαρισμού που αναπτύχθηκε από την Trend Micro ειδικά για να αντιμετωπίση του συγκεκριμένου κακόβουλου λογισμικού.
