De updater van de populaire Chinese chatsoftware Tencent QQ is door aanvallers gekaapt en gebruikt voor het verspreiden van malware onder leden van een internationale NGO, zo stelt antivirusbedrijf ESET. Misbruik van het updatekanaal zou al sinds 2020 plaatsvinden. Getroffen personen bevinden zich in China, Hong Kong, Macau en Nigeria.

Hoe de malware precies kon worden verspreid is niet duidelijk. ESET beschrijft twee scenario's, namelijk een supplychain-aanval, waarbij de aanvallers toegang tot de updateservers kregen en zo malafide updates onder een select aantal gebruikers konden verspreiden, of een "adversary-in-the-middle (aitm) aanval, waarbij routers en gateways van internetproviders zijn gecompromitteerd.

"Met toegang tot de backbone-infrastructuur van de internetprovider, op legale of illegale wijze, zouden de aanvallers update-requests die via http worden uitgevoerd kunnen onderscheppen en beantwoorden, of zelfs in real-time netwerkpakketten kunnen aanpassen", aldus de onderzoekers. Er is echter geen voldoende bewijs om één van de twee scenario's te bewijzen.

De malware die via de updater werd verspreid en geïnstalleerd wordt MgBot genoemd en is in staat om toetsaanslagen op te slaan, bestanden te stelen, tekst uit het clipboard te kopiëren, audiosteams op te nemen, wachtwoorden uit e-mailclients Outlook en Foxmail te stelen, alsmede inloggegevens uit Chrome, Opera, Firefox, Foxmail, QQBrowser, FileZilla en WinSCP.

De meeste plug-ins waar MgBot gebruik van maakt zijn ontwikkeld om informatie uit populaire Chinese applicaties te stelen, zoals WeChat, QQBrowser en Foxmail, die allemaal door Tencent zijn ontwikkeld. QQ zou 573 miljoen gebruikers hebben. De naam van de getroffen NGO is niet bekendgemaakt.