Um novo malware responsável por infectar desenvolvedoras de jogos MMO e roubar moedas virtuais de terceiros por meio de um aplicativo malicioso foi detectado pela companhia de segurança eslovaca ESET. A ação inédita foi atribuída ao Winnti, grupo de hackers que atua desde 2009, responsável por centenas de ataques avançados pelo mundo.
Desta vez, foi utilizado um backdoor nunca visto antes, apelidado pela agência como PipeMon. Para contornar quaisquer defesas, falsos certificados de assinatura semelhantes aos do Windows foram desenvolvidos. Supõe-se que isso foi possível após um incidente reportado pela Nfinity Games em 2018, no qual se constatou o roubo de tais documentos pertencentes à desenvolvedora.
O PipeMon se vale de alterações na localização de print processors, DLLs de modo de usuário responsáveis pela autorização de ações de aplicativos, impedindo sua desativação após reinicializações. Com isso, as atividades maliciosas garantiam sua continuidade.
Malware inédito afetou desenvolvedoras de MMO.Fonte: Unsplash
Extensão de danos desconhecida
Poucas informações foram reveladas sobre o caso. Sabe-se que, entre as companhias afetadas, estão incluídas desenvolvedoras sul-coreanas e taiwanesas com milhares de jogadores MMO potencialmente afetados. “Há pelo menos um registro confirmado, que pode ter levado a um ataque em cadeia, permitindo aos criminosos inserir trojans em executáveis”, informou a ESET, levantando a suspeita de ligação do grupo com o governo chinês.
Segundo a agência, tais ataques não passariam de testes executados para aprimoramento de objetivos maiores. Utilizar certificados fraudulentos foi só o último exemplo de movimentos anteriores, e, considerando a quantidade de desenvolvedoras nos países citados, não há como determinar a extensão dos anos.
Fontes
Categorias