کاربران ابزار Endgame Gear در خطر آلودگی به بدافزار قرار گرفتند

شرکت Endgame Gear، تولیدکننده تجهیزات Gaming peripherals، هشدار داده است که بدافزار در ابزار پیکربندی (configuration tool) ماوس OP1w 4k v2 که در بازه ۲۶ ژوئن تا ۹ ژوئیه ۲۰۲۵ در وب‌سایت رسمی منتشر شده بود، مخفی شده است.

فایل آلوده در آدرس endgamegear.com/gaming-mice/op1w-4k-v2 میزبانی شده بود و کاربرانی که در این بازه ابزار مذکور را از این صفحه دانلود کرده‌اند، آلوده شده‌اند.

Endgame Gear یک شرکت آلمانی تولیدکننده تجهیزات PC gaming peripherals است که به‌دلیل تولید تجهیزات حرفه‌ای بازی، از جمله ماوس‌های سری XM و OP1 که در میان منتقدان و بازیکنان حرفه‌ای بسیار محبوب هستند، شناخته می‌شود.

هرچند به بزرگی برندهایی مانند Logitech، Razer و HyperX نیست، اما Endgame Gear به‌عنوان یک بازیگر معتبر در این حوزه شناخته می‌شود و یکی از شرکت‌های نوظهور کلیدی در بخش ماوس‌های فوق‌سبک ultra-light gaming mouse به‌شمار می‌رود.

هفته گذشته این شرکت اعلام کرد که ابزار Endgame_Gear_OP1w_4k_v2_Configuration_Tool_v1_00.exe در وب‌سایت آن با بدافزار آلوده شده است، بدون آنکه جزئیاتی از نحوه وقوع این نفوذ منتشر کند.

در اطلاعیه این شرکت آمده است: «در بازه زمانی ۲۶ ژوئن تا ۹ ژوئیه، نسخه‌ای از Configuration Tool برای ماوس بی‌سیم Endgame Gear OP1w 4k v2 که در صفحه محصول OP1w 4k v2 برای دانلود قرار داشت، حاوی بدافزار بوده است.»

به‌گفته Endgame Gear، بدافزار از فایل حذف شده و کاربرانی که ابزار را از صفحه اصلی دانلودها در endgamegear.com/downloads یا از طریق GitHub و Discord دریافت کرده‌اند، تحت تأثیر قرار نگرفته‌اند؛ چرا که این کانال‌ها نسخه سالم را ارائه داده‌اند.

گزارش‌های مربوط به وجود بدافزار در ابزار پیکربندی OP1 حدود دو هفته پیش در Reddit منتشر شد و کاربران به تفاوت‌های کلیدی اشاره کردند که نشان می‌داد نسخه موجود در وب‌سایت شرکت، نصب‌کننده آلوده (trojanized installer) بوده است.

دو تفاوت اصلی شامل افزایش حجم فایل به ۲.۸ مگابایت (در مقایسه با ۲.۳ مگابایت در نسخه سالم) و نمایش عبارت Synaptics Pointing Device Driver در مشخصات فایل (به‌جای عنوان واقعی Endgame Gear OP1w 4k v2 Configuration Tool) بوده است.

خانواده بدافزاری که در اسکن کاربران شناسایی شد، XRed backdoor بوده است، اما Endgame Gear اعلام کرده که همچنان در حال تحلیل payload است و نوع آن را به‌طور قطعی تأیید نکرده است.

بدافزار XRed پیش‌تر توسط شرکت امنیتی eSentire در فوریه ۲۰۲۴ مشاهده شده بود که خود را به‌عنوان Synaptics Pointing Device Driver جا می‌زد. این بدافزار همچنین از طریق نرم‌افزار آلوده‌ای که همراه با USB-C hubs در Amazon عرضه می‌شد، توزیع شده بود.

Endgame Gear به کاربرانی که نسخه آلوده (trojanized version) نصب‌کننده را دانلود کرده‌اند توصیه کرده است که تمام فایل‌های مسیر C:\ProgramData\Synaptics را حذف کرده و نسخه سالم ابزار را مجدداً از این صفحه دریافت کنند.

با توجه به اینکه بدافزار دارای قابلیت‌های keylogging، باز کردن remote shell و data exfiltration است، کاربران آلوده باید یک اسکن کامل سیستم با آنتی‌ویروس به‌روز انجام دهند تا هرگونه باقی‌مانده بدافزاری حذف شود.

همچنین لازم است رمز عبور تمامی حساب‌های حساس، از جمله حساب‌های مالی، ارائه‌دهندگان ایمیل و حساب‌های کاری تغییر داده شود.

در ادامه، Endgame Gear اعلام کرد صفحات دانلود جداگانه را حذف خواهد کرد و برای همه فایل‌های میزبانی‌شده، تأیید SHA hash و digital signing را اضافه می‌کند تا صحت فایل و اصالت منتشرکننده تضمین شود.