Grupo cibercriminal Winnti ataca videojuegos multijugador en línea
El caso se basa en un pedido de Amnistía Internacional de revocarle la licencia de exportación a la compañía fabricante del spyware, de tal manera que no le pueda vender el producto a otros gobiernos, particularmente a regímenes autoritarios que lo podrían usar para reprimir a sus poblaciones.
Los cibercriminales han encontrado que la industria de los videojuegos puede generarles muchas ganancias, por lo que están desarrollando nuevos códigos maliciosos para atacarla y un ejemplo es PipeMon.
Según Mathieu Tartare, investigador de malware en ESET, este nuevo malware fue descubierto en febrero pasado y utilizado para atacar a compañías de desarrollo de videojuegos multijugador en línea ubicadas en Taiwán y Corea del Sur.
Si bien no reveló el nombre de las empresas afectadas, en un blog indicó que éstas tienen varios títulos en las plataformas más populares y cuentan con la participación de miles de jugadores de manera simultánea.
Tartare explicó que el código malicioso bautizado como PipeMon funciona como una “puerta trasera”, la cual puede comprometer el sistema de compilación de la víctima o los servidores del juego.
El primer caso puede derivar en un ataque a la cadena de suministro, ya que permitiría a los atacantes troyanizar los ejecutables del juego, mientras que la otra opción serviría para manipular las monedas del título y así obtener ganancias financieras.
Antes de publicar estos datos, ESET contactó a las empresas afectadas y les otorgó la información necesaria para que reparen sus problemas de seguridad.
Diagrama de ataque de «PipeMon» según ESET.
POSIBLES ATACANTES
La investigación encontró algunos indicadores que atribuyen estos ataques a un equipo de cibercriminales conocido como Grupo Winnti, el cual está activo desde el año 2012 aproximadamente.
Algunos de los dominios de mando y control utilizados por PipeMon fueron utilizados previamente en otras campañas realizadas por el grupo”, explicó Tartare.
A esto se suma que, en 2019, se encontró otra variante del código malicioso utilizado por el Grupo Winnti en las mismas compañías en las que ahora se ha encontrado PipeMon.
Y otra pista es que el certificado utilizado para firmar el instalador, los módulos y las herramientas adicionales de PipeMon está vinculado a una compañía de videojuegos que se vio comprometida por Grupo Winnti en un ataque a la cadena de suministro a fines de 2018.
.@ESETresearch has discovered a new modular backdoor used by the #Winnti Group against several #videogame companies that develop massively multiplayer online games. @welivesecurity ➡️ https://t.co/fvYwitd6gn pic.twitter.com/3nMjRoSRLe
— ESET (@ESET) May 21, 2020
Otros ataques de Winnti
Winnti es conocido por distintos ataques bajo propósitos específicos. En noviembre de 2019 se informó que dirigió un ataque contra dos universidades de Hong Kong. En esa oportunidad se utilizó una (nueva) variante del backdoor «ShadowPad». El malware ícono de este grupo.
Aunque tiene un aprecio por la industria de los videojuegos, generando -principalmente- campañas de distribución de software ‘troyanizado’. Y también se ha visto involucrado en varios ‘hackeos’ en sectores de la salud y la educación.
Este nuevo implante muestra que el Grupo Winnti todavía está desarrollando activamente nuevas herramientas utilizando para ello múltiples proyectos de código abierto; lo que demuestra que no confían únicamente en sus backdoors insignia, como ShadowPad o el malware Winnti.
Para conocer el análisis técnico de esta campaña pueden visitar el artículo en inglés de esta invesigación.
