Malware inyectado en juegos online en el PERU - segun kapersky

Publicado en 'Seguridad Informática' por arangaran, 11 Abr 2013.





  1. arangaran

    arangaran Miembro de bronce

    Registro:
    15 Jun 2011
    Mensajes:
    1,409
    Likes:
    345




    hoy salio informacion de que muchos juegos mmorpg (juegos online) han sido afectados por un troyano llamado WINNTI y muchos paises han sido afectados entre ellos PERU segun Kapersky

    vean esta imagen:

    [​IMG]

    mas informacion aqui:

    https://www.securelist.com/en/blog/855/Winnti_FAQ_More_than_just_a_game

    y aqui

    http://arstechnica.com/security/2013/04/more-then-30-mmorpg-companies-targeted-in-ongoing-malware-attack/
     


  2. jorgeandresb3

    jorgeandresb3 Miembro de bronce

    Registro:
    24 Feb 2013
    Mensajes:
    2,380
    Likes:
    398
    los de "KAYBO" de seguro!:
     
  3. piratero2013

    piratero2013 Miembro frecuente

    Registro:
    11 Abr 2013
    Mensajes:
    50
    Likes:
    1
    asiii que significa eso q Kapersky no logra contener la epidemia mundial?? ejjeejj io uso eset smart security es bueno, y tengo un monton de juegos instalados, imagino ps q podra con ese troyano :D.... de todas maneras estar al tanto gracias por la info ;:D
     
  4. Bengixox

    Bengixox Miembro maestro

    Registro:
    23 May 2012
    Mensajes:
    483
    Likes:
    66
    y porque de sudamerica Peru ? los demas no ?
    suerte o vicio
     
  5. arangaran

    arangaran Miembro de bronce

    Registro:
    15 Jun 2011
    Mensajes:
    1,409
    Likes:
    345
    Cabinas es lo más probable ese fenómeno no es tan grande en otros países como en Perú
     
  6. Jpablosp

    Jpablosp Miembro de bronce

    Registro:
    12 Oct 2011
    Mensajes:
    1,861
    Likes:
    645
    Winnti FAQ. Más que un juego

    [​IMG]
    Gran
    Kaspersky Lab Expert
    Publicado el 11 de abril 13:21 GMT
    Etiquetas: Rootkits , Juegos online , ataques selectivos , espionaje cibernético , autoridades de certificación , Spearphishing
    0,4



    El equipo actual de Kaspersky Lab de expertos publicó un informe de investigación detallado que analiza una campaña cyberespionage sostenido realizado por la organización criminal cibernético conocido como Winnti.
    Según el informe, el grupo Winnti ha estado atacando a las empresas de la industria de los videojuegos en línea desde 2009 y actualmente sigue activo.
    Los objetivos del grupo son el robo de certificados digitales firmados por los proveedores de software legítimos, además de robo de propiedad intelectual, incluyendo el código fuente de los proyectos de juego en línea.
    Los atacantes herramienta favorita es el programa malicioso que se llama "Winnti". Ha evolucionado desde su primer uso, pero todas las variantes se pueden dividir en dos generaciones: 1.xy 2.x. Nuestra publicación se describen las dos variantes de esta herramienta. En nuestro informe que publicamos un análisis de la primera generación de Winnti.
    La segunda generación (2.x) se utilizó en uno de los ataques que hemos investigado durante su fase activa, ayudando a la víctima a interrumpir la transferencia de datos y aislar las infecciones en la red corporativa. Los incidentes, así como los resultados de nuestra investigación, se describen en el informe completo (PDF) en el grupo Winnti.
    El resumen ejecutivo está disponible aquí .
    ¿Es esta la investigación sobre un troyano de juegos a partir de 2011? ¿Por qué crees que es importante?
    Esta investigación se trata de un conjunto de campañas cyberespionage industriales y de una organización criminal que masivamente penetra muchas compañías de software y juega un papel muy importante en el éxito de las campañas cyberespionage de otros agentes maliciosos.
    Es importante ser consciente de este actor amenaza para entender el panorama más amplio de los ataques cibernéticos procedentes de Asia. Tener empresas infectados de juego que operan en el espacio MMORPG, los atacantes potencialmente obtener acceso a millones de usuarios. Hasta el momento, no tenemos datos de que los atacantes robaron a los usuarios comunes, pero sí tenemos al menos 2 incidentes en los que se sembró el malware Winnti en un servidores de actualización en línea del juego y estos ejecutables maliciosos se repartieron entre un gran número de los jugadores en línea . Las muestras que hemos detectado parecía no ser nocivos para los jugadores de usuario final, sino un módulo de software malicioso que accidentalmente se metió en el lugar equivocado. Hoever, el potencial para que los atacantes hacen mal uso de dicho acceso para infectar a cientos de millones de usuarios de Internet crea un riesgo global mayor.
    Es importante entender que muchas empresas de juegos hacer negocios no sólo en el juego, pero muy a menudo también son los desarrolladores y editores de los diferentes tipos de software. Hemos detectado un incidente en el que una empresa comprometida sirvió una actualización de su software que incluye un troyano del equipo Winnti hacking. Eso se convirtió en un vector de infección para penetrar en otra empresa, que a su vez condujo a una fuga de datos personales de gran número de sus clientes.
    Hasta ahora, esta investigación está dedicada a un grupo malicioso que no sólo socava la confianza en el juego justo, pero tiene un grave impacto en la confianza en los proveedores de software en general, especialmente en las regiones donde el grupo Winnti está activo en ese momento.
    ¿Cuáles son los efectos nocivos de este troyano?
    El troyano, o para ser más precisos, un kit de penetración llamado Winnti incluye diversos módulos para proporcionar acceso de propósito general remoto para máquinas comprometidas. Esto incluye la recopilación de información general del sistema, archivo y gestión de procesos, la creación de cadenas de redirección de puerto de red para exfiltración de datos conveniente y acceso a escritorio remoto.
    ¿Es este ataque todavía activa?
    Si, a pesar de medidas activas para detener a los atacantes por la revocación de los certificados digitales, la detección del malware y una investigación activa, los atacantes se mantienen activos, con al menos compañías víctima varias partes del mundo siendo activamente comprometida.
    ¿Cuál es el impacto potencial para los usuarios comunes?
    El malware en cuestión no se dirige a los usuarios comunes en la actualidad. Con el uso de este malware, los atacantes se dirigen a juegos en línea empresas desarrolladoras de software. Hasta ahora no hemos descubierto malware con las marcas de origen del equipo Winnti que se dirige a los usuarios comunes, pero no es improbable que el malware existe.
    ¿Cuál es el posible daño para las empresas de juego?
    El malware se ha sabido para robar certificados digitales utilizados por empresas de juego, lo que permite a los atacantes para distribuir software malicioso firmado por entidades de confianza. Además, hemos observado intentos de robo de propiedad intelectual pertenecientes a las empresas de juegos como el código fuente y diseño de sistemas internos.
    ¿Quiénes son los agresores? ¿En qué países son?
    Nuestra investigación reveló que los atacantes utilizan el idioma chino en el código del malware, sino que utiliza regional de chino en sus servidores Windows y que han estado usando un número de direcciones IP en China. Hay una serie de otros indicadores, tales como apodos, zonas horarias y más que demuestran que los atacantes se encuentran en la República Popular de China.
    Por ejemplo, varios personajes virtuales relacionados con el malware Winnti apareció en determinados foros chinos sobre Hacking / vulnerabilidades / temas de seguridad de red. Hemos seguido un personaje tan abajo a la tenencia de anuncios en Luoyang, China Central.
    [​IMG]

    ¿Quiénes son las víctimas? ¿Cuál es la magnitud del ataque?
    La mayoría de las víctimas son empresas de desarrollo de software, la mayoría de los cuales son productores de juegos de video en línea desde el sudeste asiático. Hemos contado 35 negocios únicos comprometidos en el último año y medio. Desde el otro lado nos reveló 227 nombres de dominio creadas por los atacantes y utilizados como servidores de comando y control en diferentes campañas.
    [​IMG]

    ¿Por qué los atacantes se centraron en el sudeste de Asia?
    Esto es más probable en relación con la geografía de la casa de los atacantes y sus intereses en los desarrolladores de software locales. Al parecer, los atacantes estaban interesados ​​en acceder a los vendedores locales de software populares. La razón detrás de esto es incierto, probablemente quería conseguir un asimiento en certificados digitales y el acceso a los procesos de producción de software de desarrolladores de software locales para poder atacar a otras organizaciones locales o conseguir un potencial de infectar a un gran número de usuarios locales en cualquier momento .
    ¿Cómo son los usuarios (tanto para el hogar y empresarial) protegidos contra este tipo de ataque?
    Todos los clientes de Kaspersky Lab están protegidos ahora con actualizaciones periódicas de anti-malware bases. Nos gustaría recomendar a todos los demás usuarios a permanecer cuidado al abrir archivos adjuntos que llegan en correos electrónicos sospechosos, ya que era exactamente la técnica utilizada para propagar el malware.
     
  7. Jpablosp

    Jpablosp Miembro de bronce

    Registro:
    12 Oct 2011
    Mensajes:
    1,861
    Likes:
    645
    ¿Puede describir las diferentes etapas de este ataque? Por ejemplo, ¿los atacantes comprometer compañías de juegos primeros servidores, a continuación, utilizar los servidores comprometidos (y certificados firmados) para distribuir software malicioso para los usuarios finales (los jugadores)? En la mayoría de los casos que hemos visto ataques dirigidos que comenzó a partir de un correo electrónico de phishing lanza enviado a uno o varios buzones de correo de la empresa pocos. Los mensajes de correo electrónico tenía un archivo adjunto malicioso en autoextraíble archivo o regular con un ejecutable. No hemos visto ninguna vulnerabilidad de día cero utilizadas por este grupo en particular. Después de la penetración inicial de una red corporativa, los atacantes subido un conjunto de herramientas para la máquina infectada para explorar los recursos de red, escalar privilegios y localizar la información más valiosa de la organización atacada. A continuación, los atacantes exfiltraron datos robados en forma comprimida a uno de sus servidores C & C en el Internet, normalmente mediante el uso de back-connect canal TCP a través de una cadena de simples TCP-proxy de aplicaciones.
    En cuanto al servidor comprometido, sí hemos visto incidentes cuando el malware estaba disponible para su descarga desde el servidor público de las compañías de juego, pero el componente que hemos visto en el servidor no fue suficiente para infectar con éxito máquinas de los usuarios finales y consiguió más probable allí por accidente.
    ¿Cómo son los atacantes aprovechan de esto? ¿Se hace por medio de manipulaciones del juego online o están haciendo dinero por el robo de los datos personales de los usuarios / archivos / credenciales de máquinas infectadas a través de la puerta trasera (no relacionados con el juego en el juego)?
    Creemos que el principal objetivo de los atacantes es recoger los certificados digitales, robar la propiedad intelectual del software desarrollo de las empresas, que normalmente incluye el código fuente de sus productos, y el robo de oro en el juego virtual / moneda en los MMORPG. Aunque los certificados digitales podrían ser vendidos en el mercado negro a otros atacantes, el código fuente trae más oportunidades de explotación en el juego de las vulnerabilidades para crear de instantáneas de el negocio del juego en línea en la región local de los atacantes.
    Si se hace a través del juego en el juego, ¿puede explicar cómo se hace esto? ¿Están explotando vulnerabilidades en los juegos comprometidos a crear cantidades delincuentes de la moneda en el juego (oro / runas / monedas / etc) y luego vender la falsa moneda de juego a otros jugadores por dinero real?
    En este momento no tenemos plena confirmación de que los atacantes abusado juegos de generar divisas falsas, ya que no tienen pleno acceso a los servidores de juego que fueron comprometidos por el attackersbut, según algunos informes de las empresas de juego, algunos módulos maliciosos fueron inyectados en el proceso de los servidores del juego y la mayoría probablemente fueron utilizados para manipular el estado interno del proceso, que lleva más probables para la producción de cantidades corruptos de moneda en el juego o cualquier otro objeto de valor de juego.
    ¿Qué empresas de juego fueron blanco? ¿Qué juegos fueron blanco?
    Damos a conocer la lista de empresas que los certificados digitales robados y abusados ​​por los atacantes. Sin embargo, la lista no incluye todas las empresas comprometidas que conocemos. Algunas de las empresas con las que trabajamos voluntariamente ayudado a nuestro estudio e investigación, pero prefirió permanecer en el anonimato. A continuación se muestra la lista de empresas que tenían sus certificados robados:

    • ESTsoft Corp
    • Kog Co., Ltd.
    • LivePlex Corp
    • MGAME Corp
    • Rosso Índice de KK
    • Sesisoft
    • WeMade
    • YNK Japón
    • Guangzhou YuanLuo
    • Fantasy Technology Corp
    • Neowiz
    También muestras Winnti contener etiquetas que podrían significar las empresas que se violaron o habían sido comprometida y que las muestras son / destino fueron. Entre ellos se han reconocido las siguientes empresas:

    • Cayenne Entertainment Technology Co., Ltd, Taiwán, tag: Wasabii
    • AsiaSoft, Tailandia, tag: asiasoft
    • GameNet, Rusia, tag: GameNet
    • NEXON Corporation, Japón, tag: nexon
    • VNG Corporation, Viet nam, tag: zing
    • Trion Worlds, EE.UU., tag: TRIONWORLD
    • EYAsoft, Corea del Sur, tag: eyaap80
    • NCsoft, Corea del Sur, tags: aion5000, aion2008
    • Zemi Interactive, Corea del Sur, tag: zemi
    • NHN Corporation, Corea del Sur, tag: NHN
    • Hangame Japón, Japón, tag: hangame.jp
    ¿Se han identificado las características únicas durante su análisis que indicaban que los atacantes pueden ser?
    Sí, hemos sido capaces de reunir unas características únicas de los atacantes:

    • La zona horaria cuando los atacantes eran activos: probablemente entre GMT 07 y GMT 09.
    • Regional de chino simplificado establecido en la sección de recursos de algunos módulos maliciosos. Cadenas chinas de texto utilizado en los mensajes de informe de algunos módulos.
    • Nombre del equipo chino de hacking utilizado como una contraseña para puerta trasera especial.
    • Perfiles chinos usuario involucrado en la publicación de mensajes de control de los recursos públicos de Internet (blogs y foros).
    • Configuración regional del sistema chino usado en servidores C & C (a través de la conexión RDP).
    [​IMG]

    ¿Alguno de estas características se han identificado en otras campañas específicas no relacionadas con el juego?
    Los certificados de las empresas de juegos se utilizaron en los ataques contra los tibetanos y activistas uigures:

    Algunas industrias adicionales, incluyendo la aeroespacial:

    También se observó que SK Communications, propietaria de la mayor red social Cyworld en Corea del Sur y el popular de Corea del Sur portal Nate, había sido hackeado de nuevo en 2011 y una infección diseminada hay de otra ESTsoft empresa a la que el equipo Winnti había penetrado en primera :

    ¿Podrían los atacantes Winnti participar en las nuevas campañas que se han producido en el pasado?
    En base a la percepción general de las operaciones Winnti, creemos que los atacantes que actualmente forman el grupo Winnti solía ser miembros de chinos equipos de hacking subterráneas. Lo más probable es que ellos estaban atacando a diversas entidades como las empresas y los individuos como miembros de esos grupos, pero unidos en Winnti grupo han comenzado a hacer eso de manera rutinaria, sistemática y bajo bien organizado de gestión. Los ex miembros de los distintos equipos de hacking se unieron y empezaron a hacer las penetraciones a un nivel profesional.
    ¿Qué significa esta campaña significa para alguien que no es un jugador en línea o compañía de juegos? ¿El Crew Winnti atacar otros blancos también?
    Ha habido algunos incidentes cuando sin juegos de azar las empresas se vieron comprometidas, sin embargo, el foco principal del grupo Winnti actualmente los desarrolladores de juegos. Sin embargo, no hay ninguna razón por qué el grupo Winnti no se trasladaría a otros tipos de negocios en el futuro, debido a que sus herramientas de ataque son universales y pueden ser utilizados en contra de cualquier otro objetivo.
    ¿Hay algún síntoma de infección únicas que los usuarios finales deben tener en cuenta (BSOD, puertos abiertos, etc)?
    El malware que hemos analizado utiliza enfoque rootkit mientras se ejecuta en el sistema. Se inicia como un controlador del sistema y carga de componentes adicionales en la memoria. El usuario final verá muy probablemente sin cambios en comparación con el sistema infectado.
    ¿Qué empresas de la industria del juego hacer para verificar sus servidores no estaban comprometidos?
    La forma más fácil para los administradores del sistema sería la de desplegar un motor anti-malware en un producto o una herramienta independiente (como Kaspersky Security Scan) ya que todos los archivos maliciosos están detectados con nuestros anti-malware de bases de datos.
    ¿Qué los usuarios finales hacer para verificar si sus sistemas estaban comprometidos?
    Es posible que un usuario común para comprobar manualmente si el sistema está en peligro. Normalmente se pueden reconocer por los archivos locales en el disco con apphelp.dll nombres y winmm.dll que se encuentran fuera de% WINDIR% \ System32. Tradicionalmente, los atacantes colocar estos archivos en el directorio% WINDIR%, lo cual es un buen indicador de un sistema comprometido.