Компания Endgame Gear, известный производитель игровой периферии, стала жертвой серьезной кибератаки, в результате которой официальный сайт компании в течение двух недель распространял вредоносное программное обеспечение. Инцидент затронул пользователей, загружавших утилиту для настройки игровой мыши OP1w 4k v2 с 26 июня по 9 июля 2025 года.
Обнаружение угрозы сообществом пользователей
Первые сигналы тревоги поступили от бдительных пользователей на платформе Reddit, которые заметили подозрительные изменения в программном обеспечении компании. Внимательные геймеры обратили внимание на два критических отличия: увеличение размера установочного файла с 2,3 МБ до 2,8 МБ и изменение названия в свойствах файла с «Endgame Gear OP1w 4k v2 Configuration Tool» на «Synaptics Pointing Device Driver».
Эти наблюдения стали ключевыми индикаторами компрометации, демонстрируя важность активного участия пользователей в обеспечении кибербезопасности. Проверка подозрительного файла через сервис VirusTotal подтвердила худшие опасения — программа была идентифицирована как бэкдор XRed.
Масштаб и последствия инцидента
Расследование показало, что вредоносный код был размещен исключительно на странице продукта endgamegear.com/gaming-mice/op1w-4k-v2. Пользователи, загружавшие утилиту с основной страницы загрузок, через GitHub или Discord, остались в безопасности, поскольку эти каналы распространения содержали оригинальную версию программы.
Функциональность обнаруженного бэкдора XRed включает в себя несколько критически опасных возможностей:
Кейлоггинг — перехват и запись всех нажатий клавиш пользователя, включая пароли и конфиденциальную информацию. Удаленный доступ — возможность злоумышленников получить полный контроль над зараженной системой. Кража данных — несанкционированное извлечение персональной и корпоративной информации.
Рекомендации по устранению угрозы
Представители Endgame Gear предоставили четкие инструкции для пострадавших пользователей. В первую очередь необходимо удалить все файлы из директории C:\ProgramData\Synaptics и загрузить безопасную версию утилиты с официального сайта.
Эксперты по кибербезопасности настоятельно рекомендуют выполнить комплексные защитные мероприятия: провести полное сканирование системы актуальным антивирусным ПО, сменить пароли для всех критически важных аккаунтов, включая банковские сервисы, электронную почту и рабочие профили.
Превентивные меры и будущие планы безопасности
В ответ на инцидент компания Endgame Gear анонсировала существенные изменения в политике безопасности. Планируется отказ от отдельных страниц загрузки, внедрение проверки SHA-хешей и добавление цифровых подписей для всех распространяемых файлов.
Интересно отметить, что аналитики компании eSentire еще в феврале 2024 года предупреждали о способности XRed маскироваться под драйверы Synaptics. Тогда малварь распространялась через троянизированное ПО, поставляемое с USB-C хабами на торговой площадке Amazon.
Данный инцидент подчеркивает критическую важность многоуровневой защиты в современной цифровой экосистеме. Пользователям следует проявлять повышенную бдительность при загрузке программного обеспечения, регулярно обновлять антивирусные базы и внимательно следить за любыми подозрительными изменениями в поведении установленных приложений. Только совместными усилиями разработчиков и пользователей можно эффективно противостоять растущим киберугрозам.
