Investigadores da empresa de segurança ESET revelam que os hackers do grupo Winnti, um dos mais ativos desde 2009, usaram uma backdoor nunca antes detetada para infetar programadores de jogos. A utilização do PipeMon foi feita com sucesso e permitiu enviar apps com malware para os jogadores de um título e roubar as moedas in-game de jogadores de outro título.
O PipeMon enverga um certificado de assinatura do Windows legítimo e que foi roubado à Nfinity Games em 2018. A backdoor tira partido da localização dos processadores de impressora, para poder ‘sobreviver’ mesmo que a máquina seja reiniciada, explica o ArsTechnica.
A ESET não identificou os criadores de jogos afetados, indicando apenas tratar-se de vários programadores baseados na Coreia do Sul e em Taiwan. Com base na sofisticação deste ataque, na do ataque de 2018, onde conseguiu o certificado da Nfinity, e nos alvos escolhidos, acredita-se que os membros do grupo tenham alguma afiliação com o governo chinês.
A assinatura por certificado é necessária para que os drivers de software consigam aceder ao kernel, o componente de segurança mais crítico dos sistemas operativos, e ajuda a passar as proteções de segurança, como antivírus ou outros mecanismos. A revogação deste certificado em questão só foi pedida depois de a ESET ter revelado esta falha.
Os hackers do Winnti estão ativos desde 2009 e serão responsáveis por centenas de ataques informáticos contra jornalistas chineses, ativistas do Tibete ou Uyghur, o governo da Tailândia e várias organizações tecnológicas importantes. Em 2010, os piratas conseguiram roubar dados da Google e de outras 34 empresas. Uma iniciativa junto à cadeia de distribuição resultou na instalação de uma backdoor em mais de 500 mil computadores Asus.
“Em pelo menos um caso, os operadores de malware conseguiram comprometer o sistema de uma vítima, o que poderá ter levado a ataques na cadeia de fornecimento, permitindo que os atacantes injetassem trojans nos executáveis do jogo (…) Noutro caso, os servidores de jogo foram comprometidos, o que poderá ter permitido, por exemplo, a manipulação do sistema de moedas dentro do jogo para ganhos financeiros”, detalha a ESET em comunicado, explicando ainda não ter encontrado evidências de outro tipo de ataques.
