El mecanismo de actualización de NoxPlayer, un emulador de Android para PC y Mac que forma parte de la gama de productos de BigNox, está en la mira de los ciberdelincuentes.
Este software generalmente es utilizado en videojuegos para dispositivos móviles desde computadoras. De allí que este ataque sea algo inusual, informó la empresa ESET.
“Se identificaron tres familias de malware diferentes que se distribuían a partir de actualizaciones maliciosas personalizadas a víctimas seleccionadas. No había señales de que se estuviera persiguiendo una ganancia financiera, sino más bien es un ataque a capacidades relacionadas con el monitoreo o vigilancia”, comentó Ignacio Sanmillan, Malware Researcher de ESET.
De acuerdo con mediciones de ESET, los primeros indicadores se reportaron en septiembre de 2020. Y fue la última semana de enero cuando se identificó la actividad maliciosa de forma explícita.
OBSERVE MÁS: Advierten sobre estafas en Internet ligadas con la vacuna contra el covid
Otros ataques en el 2020
Durante 2020, el equipo de investigación de ESET informó acerca de varios ataques de cadena de suministro en países de Asia.
Este fue el caso de WIZVERA VeraPort, utilizado por sitios web gubernamentales y bancarios en Corea del Sur.
También Operación StealthyTrident que comprometió el software de chat Able Desktop utilizado por varias agencias gubernamentales de Mongolia. Igualmente se detectó la Operación SignSight. Esta se relaciona con ataques a la distribución de un software, que es distribuido en Vietnam.
Tome nota en caso de ataque
ESET destaca algunos puntos clave para identificar algún ataque contra algún usuario:
- ¿A quién afecta?: Usuarios de NoxPlayer.
- ¿Cómo determinar si se recibió una actualización maliciosa o no?: Verificar si algún proceso en curso tiene una conexión de red activa con servidores de C&C conocidos activos. Revisar si alguno de los malware basados en los nombres de archivo proporcionados en el reporte está instalado en: C:\ProgramData\Sandboxie\SbieIni.dat;C:\ProgramData\Sandboxie\SbieDll.dll;C:\ProgramData\LoGiTech\LBTServ.dll;C:\ProgramFiles\InternetExplorer\ieproxysocket64.dll;C:\ProgramFiles\InternetExplorer\ieproxysocket.dll;unarchivonombrado%LOCALAPPDATA%\Nox\update\UpdatePackageSilence.exe sin la firma digital por parte de BigNox.
- ¿Cómo estar protegido?:
- En caso de intrusión: realizar instalación estándar desde un medio limpio.
- Para usuarios que no han sido comprometidos: no descargue ninguna actualización hasta que BigNox notifique que mitigó la amenaza.