ESET descobriu malware PipeMon que tem como alvo a indústria de videogames
Backdoor modular, chamado PipeMon, é usado pelo Grupo Winnti em ataques a empresas de MMO (multiplayer videogame development)
Pesquisadores da ESET, empresa de detecção proativa de ameaças, descobriram uma nova ameaça usada pelo grupo de criminosos cibernéticos Winnti, visando empresas de desenvolvimento de MMO (videogame multiplayer online) em Taiwan e Coreia do Sul, cujos jogos estão disponíveis em plataformas populares que têm a participação de milhares de jogadores simultaneamente. A ESET chamou esse novo malware de PipeMon.
Pelo menos uma vez, os criadores desse malware conseguiram comprometer o sistema de compilação de uma de suas vítimas, o que poderia levar a um ataque à cadeia de suprimentos, permitindo que os cibercriminosos invadissem os executáveis do jogo. Em outro caso, os servidores do videogame foram comprometidos, o que poderia permitir que atacantes, por exemplo, manipulassem as próprias moedas do jogo para obter ganhos financeiros.
A ESET entrou em contato com as empresas afetadas e forneceu as informações necessárias para resolver os problemas de segurança. “Existem indicadores suficientes para atribuir esta campanha ao grupo Winnti. Alguns dos domínios de comando e controle usados pelo PipeMon foram usados anteriormente em outras campanhas do grupo. Além disso, em 2019, outra variante do malware Winnti foi encontrada nas mesmas empresas em que encontramos o PipeMon agora”, diz Mathieu Tartare, pesquisador de malwares da ESET.
O grupo Winnti está ativo desde pelo menos 2012 e é responsável por ataques de alto nível na cadeia de suprimentos de empresas de desenvolvimento de software e videogame, principalmente a distribuição de software Trojanized (como aconteceu com o CCleaner, ASUS LiveUpdate ou com diferentes videogames). Pesquisadores da ESET identificaram recentemente uma campanha baseada nos malwares ShadowPad e Winnti, afetando várias universidades de Hong Kong.
“Essa descoberta nos faz ver que os invasores estão desenvolvendo ativamente novas ferramentas e que usam diferentes projetos de código aberto, ou seja, não confiam apenas em seus próprios backdoors principais, ShadowPad e Winnti”, acrescenta Tartare.