Llegamos a ustedes gracias a:



Alertas de Seguridad

ESET descubre la Operación NightScout

Ataque de ciberespionaje en la cadena de suministro

[02/02/2021] Hace unos días, los investigadores de ESET descubrieron un nuevo ataque de cadena de suministro que comprometía el mecanismo de actualización de NoxPlayer, un emulador de Android para PC y Mac. Se detectaron tres familias de malware diferentes que se distribuían a partir de actualizaciones maliciosas adaptadas a las víctimas seleccionadas, sin que hubiera indicios de que se obtuviera ningún beneficio económico, sino que solo se observaron capacidades de ciberespionaje.?ESET bautizó la operación maliciosa como NightScout.

"BigNox es una empresa con sede en Hong Kong que ofrece varios productos, principalmente un emulador de Android para PC y Mac llamado NoxPlayer. La empresa afirma que tiene más de 150 millones de usuarios en más de 150 países que hablan al menos 20 idiomas diferentes. Eso sí, la base de seguidores de BigNox se encuentra predominantemente en los países asiáticos, comentó el investigador de ESET, Ignacio Sanmillan, quien reveló la Operación NightScout.?

"Basándonos en la telemetría de ESET, vimos los primeros indicadores de compromiso en septiembre del 2020. La actividad continuó a buen ritmo hasta que descubrimos actividad explícitamente maliciosa esta semana, momento en el que reportamos el incidente a BigNox", añadió el investigador.

Señaló que la Operación NightScout es una operación muy focalizada en la que los investigadores de ESET solo han podido identificar a varias víctimas. "Las víctimas identificadas se encuentran en Taiwán, Hong Kong y Sri Lanka.?Basándonos en el software comprometido en cuestión y en el malware entregado que muestra capacidades de vigilancia, creemos que esto puede indicar la intención de recopilación de inteligencia sobre objetivos involucrados en la comunidad de juegos", explicó Sanmillan.

Indicó que, en este ataque específico a la cadena de suministro, el mecanismo de actualización de NoxPlayer sirvió como vector de compromiso. Al iniciarse, si NoxPlayer detecta una versión más nueva del software, le pedirá al usuario un cuadro de mensaje ofreciéndole la opción de instalarla, entregando así el malware.

"Tenemos pruebas suficientes para afirmar que la infraestructura de BigNox fue comprometida para alojar el malware y también para sugerir que su infraestructura API podría haber sido comprometida. En algunos casos, el actualizador de BigNox descargó cargas útiles adicionales desde servidores controlados por el atacante", añadió Sanmillan. 

Los investigadores de ESET observaron un total de tres variantes diferentes de actualizaciones maliciosas. La primera variante de actualización maliciosa no parece haber sido documentada antes y tiene suficientes capacidades para vigilar a sus víctimas.?La segunda variante de actualización, en línea con la primera, fue vista siendo descargada desde la infraestructura legítima de BigNox. La carga útil final desplegada era una instancia de Gh0st RAT (con capacidades de keylogger) también muy utilizada entre los actores de amenazas

La tercera variante, PoisonIvy RAT, una herramienta de acceso remoto muy popular entre los ciberdelincuentes, solo se detectó en la actividad posterior a las actualizaciones maliciosas iniciales y se descargó desde una infraestructura controlada por el atacante.?

"ESET ha detectado similitudes entre los cargadores que nuestros investigadores han monitorizado en el pasado y algunos de los utilizados en la Operación NightScout. Las similitudes que vemos se relacionan con instancias descubiertas en un compromiso de la cadena de suministro del sitio web de la oficina presidencial de Myanmar en el 2018, y a principios del 2020 en una intrusión en una universidad de Hong Kong, indicó Sanmillan.

"Para estar en el lado seguro, en caso de intrusión, realice una reinstalación estándar desde medios limpios. Para los usuarios de NoxPlayer no infectados, no descarguen ninguna actualización hasta que BigNox envíe una notificación de que han mitigado la amenaza, además, la mejor práctica sería desinstalar el software", aconsejó Sanmillan.?