Çevrimiçi Oyuncuları Hedef Alan Yeni Bir Siber Saldırı Tespit Edildi

Siber güvenlik uzmanları, PC ve Mac’lerde bedava Android emülatörünü (başka bir sistemde çalışan yazılımların çalıştırılabilmesi için orijinal sistemi taklit eden yazılım veya donanım) temsil eden NoxPlayer‘in güncelleme mekanizmasına müdahale ederek çevrimiçi oyuncuları hedef alan yeni bir tedarik zinciri saldırısı tespit etti.

“Operation NightScout” olarak adlandırılan ve gelişmiş bir gözetleme kampanyasını temsil eden saldırı, üç farklı kötü amaçlı yazılımı dağıtmaktan sorumlu tutuluyor. Güncellemeler aracılığıyla yayılan kötü amaçlı yazılımlar Tayvan, Hong Kong ve Sri Lanka’daki oyuncuları hedef alıyor.

Hong-Kong merkezli BigNox tarafından geliştirilen NoxPlayer, Android kullanıcılarının PC üzerinde klavye, oyun kumandası ve diğer donanımlar aracılığıyla oyun oynamasını sağlıyor. NoxPlayer’ın 150’den fazla ülkede 150 milyondan fazla kullanıcısı olduğu tahmin ediliyor.

Nox Player’ı hedef alan saldırının ilk izlerinin Eylül 2020’de ortaya çıktığı, güvenlik zafiyetlerine işaret eden bulguların ise 25 Ocak’ta saptandığı ve BigNox’un uyarıldığı belirtildi.

Hedefleri oyun dünyasından bilgi çalmak

Müdahale edilen yazılım ve söz konusu kötü amaçlı yazılımın gözetleme özelliği ele alındığında, siber suçluların oyun camiasından bilgi çalmayı hedeflediği tahmin ediliyor.

Saldırının gerçekleştirilmesi için NoxPlayer güncelleme mekanizması trojan halindeki kötü amaçlı yazılımların taşıyıcısı olarak kullanılıyor. Yüklemenin ardından, aralarında Gh0st RAT’in de yer aldığı üç farklı kötü amaçlı yazılım devreye giriyor ve kullanıcıların tuş hamlelerini ve hassas bilgilerini ele geçiriyor.

Yapılan incelemelerde, PoisonIvy RAT gibi ek kötü amaçlı yazılımların siber suçlular tarafından uzaktan kontrol edilen sunucular aracılığıyla BigNox güncelleyicisine indirildiği tespit edildi.

Güvenlik araştırmacıları, PoisonIvy RAT‘in ilk kötü amaçlı yazılım güncellemelerinin ardından yüklendiğini ve siber suçluların elindeki altyapıdan yüklendiğini belirtti.

İlk kez 2005’te ortaya çıkan PoisonIvy RAT yüksek profilli kötü amaçlı yazılım saldırılarında kullanılmış, en akıllarda kalan saldırılardan biri 2011’de iki adımlı doğrulama mekanizması RSA SecurID verilerine müdahale edilmesi olmuştu.

NoxPlayer saldırılarında kullanılan kötü amaçlı yazılımın yükleyicilerinin Myanmar Başkanlık Bürosu’na 2018’de ve Hong Kong Üniversitesi’ne geçtiğimiz yıl düzenlenen saldırılarda kullanılanlar ile gösterdiği benzerlik, BigNox’un güvenlik bariyerlerinin aşıldığına işaret etti. Bu sayede kötü amaçlı yazılım BigNox altyapısında saklanırken, uygulama programlama arayüzü (API) altyapısına müdahale edilmiş olabileceği belirtildi.

Güvenlik uzmanları, NoxPlayer’in güvenilir kaynaklardan yeniden yüklenmesi ve BigNox tarafından kullanıcılara bildiri gönderilmeden herhangi bir güncelleme yapılmaması gerektiğini belirtti. En iyi hamle, şu an için yazılımın silinmesi olarak gösterildi.