Proizvođač perifernih uređaja za igranje Endgame Gear potvrdio je da su hakeri uspješno kompromitovali njegov službeni sistem distribucije softvera, koristeći kompanijski alat za konfiguraciju miša OP1w 4K V2 kako bi širili opasni Xred malware na ništa ne sluteće korisnike skoro dvije sedmice.
Prodor sigurnosti, koji se dogodio između 26. juna i 9. jula 2025. godine, predstavlja uznemirujući primjer napada na lanac snabdijevanja usmjerenih na industriju videoigara. Softver zaražen malicioznim softverom distribuisan je direktno sa službene stranice proizvoda Endgame Gear-a, što korisnicima posebno otežava otkrivanje prijetnje.
Incident je otkriven kada su korisnici Reddita u MouseReview zajednici prijavili sumnjivo ponašanje nakon preuzimanja alata za konfiguraciju koji je izgledao legitimno. Korisnik Admirable-Raccoon597, koji je prvi identifikovao kompromitovani softver, napomenuo je da zaražena datoteka dolazi “sa službene stranice dobavljača”, a ne iz bilo kojeg izvora treće strane.
Kompromitovanje softvera za gejming miš
Maliciozni softver identifikovan je kao Xred , sofisticirani backdoor za Windows koji cirkuliše najmanje od 2019. godine. Ovaj trojanac za udaljeni pristup posjeduje opsežne mogućnosti dizajnirane za sveobuhvatno kompromitovanje sistema žrtve.
Xred prikuplja osjetljive sistemske informacije, uključujući MAC adrese, korisnička imena i imena računara, prenoseći ove podatke napadačima putem SMTP adresa e-pošte ugrađenih u maliciozni softver.
Mehanizmi perzistencije malicioznog softvera su posebno zabrinjavajući. Nakon pokretanja, Xred kreira skriveni direktorij na C:\ProgramData\Synaptics\ i uspostavlja ključ za pokretanje u registru Windowsa kako bi održao trajno prisustvo na zaraženim sistemima. Maskira se kao legitimni Synaptics softver za drajver trackpada, što otežava otkrivanje korisnicima.
Pored osnovne krađe podataka, Xred uključuje i funkcionalnost keyloggera putem tehnika praćenja tastature, potencijalno prikupljajući bankarske podatke i druge osjetljive informacije.
Maliciozni softver takođe pokazuje ponašanje slično crvima, šireći se putem USB diskova kreiranjem autorun.inf datoteka i zaražavanjem Excel datoteka malicioznim VBA makroima.
Endgame Gear je 17. jula zamijenio zaražene datoteke čistim verzijama bez izdavanja javnih upozorenja ili priznavanja kršenja sigurnosti.
Kompanija je objavila službenu sigurnosnu izjavu kojom potvrđuje incident. Kompanija je izjavila da „pristup našim datotečnim serverima nije bio ugrožen i da nikakvi podaci o korisnicima nisu bili dostupni niti pogođeni na našim serverima u bilo kojem trenutku“.
Proizvođač je od tada implementirao nekoliko sigurnosnih poboljšanja, uključujući dodatne procedure skeniranja malicioznog softvera, pojačanu zaštitu od malicioznog softvera na hosting serverima i planove za dodavanje digitalnih potpisa svim softverskim datotekama.
Izvor: CyberSecurityNews
