Виробник геймерської периферії Endgame Gear зіткнувся з масштабним інцидентом кібербезпеки, коли хакери скомпрометували офіційний веб-сайт компанії та протягом двох тижнів розповсюджували троянізоване програмне забезпечення. Атака тривала з 26 червня по 9 липня 2025 року, зачепивши користувачів, які завантажували утиліту конфігурації для геймерської миші OP1w 4k v2.
Виявлення загрози спільнотою користувачів
Перші ознаки компрометації помітили активні користувачі на платформі Reddit, які звернули увагу на підозрілі зміни в програмному забезпеченні. Основними індикаторами стали збільшення розміру інсталяційного файлу з 2,3 МБ до 2,8 МБ та зміна назви в властивостях з “Endgame Gear OP1w 4k v2 Configuration Tool” на “Synaptics Pointing Device Driver”.
Подальший аналіз через сервіс VirusTotal підтвердив найгірші побоювання – файл виявився бекдором XRed, відомим своєю здатністю маскуватися під легітимні драйвери пристроїв.
Технічний аналіз компрометації
Дослідження показало точкову природу атаки: вредоносний код розміщувався виключно на сторінці продукту endgamegear.com/gaming-mice/op1w-4k-v2. Користувачі, які завантажували утиліту через основну сторінку завантажень, GitHub або Discord, залишилися в безпеці, оскільки ці канали містили оригінальну версію.
Функціональність бекдору XRed включає критично небезпечні можливості: перехоплення натискань клавіш для крадіжки паролів та конфіденційної інформації, забезпечення віддаленого доступу зловмисникам до інфікованих систем, та несанкціоноване вилучення персональних і корпоративних даних.
Зв’язок з попередніми атаками
Аналітики компанії eSentire ще у лютому 2024 року попереджали про здатність XRed маскуватися під драйвери Synaptics. Тоді малвар розповсюджувався через троянізоване ПЗ, що постачалося з USB-C хабами на торговій платформі Amazon, демонструючи еволюцію тактик кіберзлочинців.
Рекомендації щодо ліквідації загрози
Компанія Endgame Gear надала детальні інструкції для постраждалих користувачів. Першочерговим завданням є повне видалення всіх файлів з директорії C:\ProgramData\Synaptics та завантаження безпечної версії утиліти з офіційного джерела.
Експерти рекомендують виконати комплексні заходи безпеки: провести повне сканування системи актуальним антивірусним програмним забезпеченням, змінити паролі для всіх критично важливих облікових записів, включаючи банківські сервіси, електронну пошту та робочі профілі.
Майбутні заходи безпеки
У відповідь на інцидент Endgame Gear анонсувала кардинальні зміни в політиці безпеки. Планується відмова від окремих сторінок завантаження, впровадження перевірки SHA-хешів та додавання цифрових підписів для всіх файлів, що розповсюджуються.
Цей інцидент підкреслює критичну важливість багаторівневого захисту в сучасній цифровій екосистемі. Користувачам слід проявляти підвищену пильність при завантаженні програмного забезпечення, регулярно оновлювати антивірусні бази та уважно стежити за будь-якими підозрілими змінами в поведінці встановлених додатків. Тільки спільними зусиллями розробників та користувачів можна ефективно протистояти зростаючим кіберзагрозам у геймерській індустрії.