{"id":40460,"date":"2019-05-03T11:49:11","date_gmt":"2019-05-03T09:49:11","guid":{"rendered":"https:\/\/www.area-press.eu\/comunicatistampa\/?p=40460"},"modified":"2019-05-03T11:49:11","modified_gmt":"2019-05-03T09:49:11","slug":"eset-nuovo-attacco-alla-supply-chain-malware-infetta-tre-videogiochi","status":"publish","type":"post","link":"https:\/\/www.area-press.eu\/comunicatistampa\/2019\/05\/03\/eset-nuovo-attacco-alla-supply-chain-malware-infetta-tre-videogiochi\/","title":{"rendered":"ESET: nuovo attacco alla supply chain, malware infetta tre videogiochi"},"content":{"rendered":"<p>In un nuovo esempio di attacco alla <strong>supply-chain<\/strong>, un gruppo di hacker presumibilmente cinese si \u00e8 insinuato in <strong>tre videogiochi<\/strong> molto diffusi in <strong>Asia<\/strong> e ha inserito una <strong>backdoor<\/strong> nei rispettivi programmi.<\/p>\n<p>I ricercatori di ESET spiegano come il gruppo di hacker sia riuscito a <strong>infettare due giochi<\/strong> e una <strong>piattaforma di gaming<\/strong>, colpendo cos\u00ec <strong>centinaia di migliaia di utenti<\/strong>.<\/p>\n<p>In ognuno dei casi il malware presentava configurazioni diverse, ma il <strong>codice della backdoor era lo stesso<\/strong> per tutti e tre i videogiochi, cos\u00ec come il sistema di lancio. ESET \u00e8 riuscita a contattare due delle tre aziende per rimuovere la minaccia, ma il terzo gioco \u2013 che ironicamente si chiama <strong>Infestation<\/strong> ed \u00e8 prodotto dalla thailandese <strong>Electronics Extreme<\/strong> \u2013 ancora distribuisce gli eseguibili infetti.<\/p>\n<p>Curiosamente, il malware prima di colpire il PC dell\u2019utente controlla se la <strong>lingua del sistema<\/strong> sia il <strong>russo<\/strong> o il <strong>cinese<\/strong>, e in caso affermativo <strong>smette di funzionare<\/strong>, nel tentativo di evitare di estendersi a quelle determinate aree geografiche.<\/p>\n<p>Gli eseguibili compromessi avviano il payload del malware su un sistema compromesso prima di qualsiasi altro componente, con la backdoor decrittografata e avviata <em>in-memory<\/em> in anticipo, prima di eseguire il gioco o il codice della piattaforma di gioco.<\/p>\n<p>Durante l&#8217;analisi, i ricercatori di ESET hanno rilevato <em>in the wild<\/em> cinque versioni del payload dannoso, utilizzando file di configurazione simili contenenti un URL del server C&amp;C, un tempo di attesa pre configurato per ritardare l&#8217;esecuzione, una stringa contenente il nome della campagna e, ancora pi\u00f9 importante, un elenco di file eseguibili che portano alla chiusura della backdoor se sono in esecuzione sul sistema infetto.<\/p>\n<p>Se la backdoor non si spegne dopo il controllo delle soluzioni di sicurezza, generer\u00e0 un identificatore di bot che racchiude nome utente, nome del computer, versione di Windows e lingua del sistema, inviando tutto ai criminali informatici e aspettando una risposta con i comandi.<\/p>\n<p>Sebbene il malware sia dotato anche di un payload di secondo stadio che si installa come servizio di Windows ed \u00e8 progettato per auto-aggiornarsi, la sua esatta funzione non \u00e8 ancora nota e il server C&amp;C che usa come parte del processo di aggiornamento automatico non \u00e8 raggiungibile<\/p>\n<p>Per ulteriori informazioni \u00e8 possibile visitare il blog di ESET Welivesecurity al seguente link: <a href=\"https:\/\/www.welivesecurity.com\/2019\/03\/11\/gaming-industry-scope-attackers-asia\/\">Gaming industry still in the scope of attackers in Asia<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>In un nuovo esempio di attacco alla supply-chain, un gruppo di hacker presumibilmente cinese si \u00e8 insinuato in tre videogiochi molto diffusi in Asia e ha inserito una backdoor nei rispettivi programmi. I ricercatori di ESET spiegano come il gruppo di hacker sia riuscito a infettare due giochi e una piattaforma di gaming, colpendo cos\u00ec [&hellip;]<\/p>\n","protected":false},"author":4630,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[29],"tags":[],"class_list":["post-40460","post","type-post","status-publish","format-standard","hentry","category-comunicati"],"_links":{"self":[{"href":"https:\/\/www.area-press.eu\/comunicatistampa\/wp-json\/wp\/v2\/posts\/40460","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.area-press.eu\/comunicatistampa\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.area-press.eu\/comunicatistampa\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.area-press.eu\/comunicatistampa\/wp-json\/wp\/v2\/users\/4630"}],"replies":[{"embeddable":true,"href":"https:\/\/www.area-press.eu\/comunicatistampa\/wp-json\/wp\/v2\/comments?post=40460"}],"version-history":[{"count":1,"href":"https:\/\/www.area-press.eu\/comunicatistampa\/wp-json\/wp\/v2\/posts\/40460\/revisions"}],"predecessor-version":[{"id":40461,"href":"https:\/\/www.area-press.eu\/comunicatistampa\/wp-json\/wp\/v2\/posts\/40460\/revisions\/40461"}],"wp:attachment":[{"href":"https:\/\/www.area-press.eu\/comunicatistampa\/wp-json\/wp\/v2\/media?parent=40460"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.area-press.eu\/comunicatistampa\/wp-json\/wp\/v2\/categories?post=40460"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.area-press.eu\/comunicatistampa\/wp-json\/wp\/v2\/tags?post=40460"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}