模拟器在许多精通技术的用户的生活中发挥了一定的作用。它们引入了一定程度的灵活性,不仅允许另一个系统在用户的操作系统上运行——例如,运行在MacBook笔记本电脑上的Windows操作系统——还允许视频游戏玩家在不同的平台上玩游戏。

最近,ESET揭示了这是一场针对NoxPlayer用户的运动,这是一款广受欢迎的针对pc和mac的Android模拟器。受影响的用户并不需要访问一个潜在的可疑网站就能获得恶意软件。他们所做的只是下载了NoxPlayer的更新。

我们在这里看到的是a供应链的攻击,在这种情况下,威胁行为者能够操纵合法的可执行文件,使其以不应该的方式运行。在这种情况下,攻击者操纵了两个文件:Nox.exe,主NoxPlayer文件,以及NoxPack.exe,更新本身的下载程序。后者是其感染载体。

用户是如何被感染的

一切都在后台开始和发生,用户无法看到真正发生了什么。

ESET在帖子中解释说,当打开noxplayer时,在弹出提示用户可以下载软件更新的消息之前,该程序通过BigNox HTTP API查询更新服务器,检查是否有更新,如果有,则检索更新相关信息。这包括存放更新文件的URL。

研究人员认为,BigNox基础设施的某些部分遭到了破坏。人们认为,攻击者要么用恶意软件替换了合法的更新文件,要么改变了文件名或下载URL指向他们控制的目标。这些新的下载url模仿了NoxPlayer更新的合法下载位置。

然后在受影响的系统上执行恶意软件。这种未知恶意软件的主要目的是侦察。研究人员还观察到,在2020年底和2021年初,某些受害者感染了其他恶意软件。

时代的迹象

视频游戏产业也不能免除任何网络攻击和在线风险。多年来,该行业的公司一直是网络钓鱼、骗子、有时是恶意软件的目标。

今年早些时候,育碧等知名游戏公司的员工(有时是客户)也遇到了这种情况他们的证件在暗网上泄露了.2020年年中,PipeMon是一个名为Winnti的攻击组织的产品,该组织也使用供应链攻击,感染了几个大型多人在线(MMO)游戏开发商利用游戏构建和游戏服务器来达到恶意目的。

因为当前的大流行推动了电子游戏的流行,包括人们在这些游戏中的消费,这并不令人惊讶网络罪犯现在比以往任何时候都更加瞄准他们.这种针对游戏模拟器公司的攻击似乎不寻常,但它符合当前的趋势。

当电子游戏玩家在享受他们的游戏时,他们应该意识到他们已经引起了网络罪犯的注意。同样,电子游戏公司也应该明白自己也是目标。为了将网络罪犯拒之门外,双方都需要尽自己的一份力。

2021年2月8日更新

最初的ESET报告于2021年2月3日更新,现在包含了诺克斯表示为保护用户而实施的措施的细节。我们还没有核实这些变更或其是否充分。