Chi ha messo il topo in trappola? Un malware è stato nascosto nei driver della Endgame Gear

Il produttore di periferiche di gioco Endgame Gear ha segnalato che tra il 26 giugno e il 9 luglio 2025, un malware è stato inserito nel sito Web ufficiale dell’azienda, nascosto nello strumento di configurazione del mouse OP1w 4k v2. Circa due settimane fa su Reddit sono comparse segnalazioni di malware nello strumento di personalizzazione OP1.

Gli utenti hanno segnalato contemporaneamente diverse differenze chiave, che indicavano che il sito web dell’azienda ospitava un programma di installazione trojanizzato. Ad esempio, hanno attirato l’attenzione sulla dimensione del driver, aumentata a 2,8 MB (rispetto ai 2,3 MB della versione “pulita”), nonché sul fatto che le proprietà del file indicavano “Synaptics Pointing Device Driver” (invece di “Endgame Gear OP1w 4k v2 Configuration Tool”).

Dopo essere stato caricato su VirusTotal, il malware è stato identificato come backdoor XRed, ma i rappresentanti di Endgame Gear affermano che l’analisi del payload dannoso non è ancora completa. La scorsa settimana, l’azienda ha confermato che lo strumento Endgame_Gear_OP1w_4k_v2_Configuration_Tool_v1_00.exe ospitato sul suo sito web era effettivamente infetto da malware. Tuttavia, Endgame Gear non ha spiegato esattamente come ciò sia accaduto.

Il file dannoso è stato pubblicato sulla pagina endgamegear.com/gaming-mice/op1w-4k-v2 e il produttore sottolinea che tutti coloro che hanno scaricato l’utility da questa pagina durante il periodo specificato sono stati infettati. Allo stesso tempo, gli utenti che hanno scaricato l’utility dalla pagina di download principale (endgamegear.com/downloads), tramite GitHub e Discord, non sono stati interessati, poiché la versione “pulita” è stata distribuita attraverso questi canali.

Ora pare che il malware sia stato rimosso.

Endgame Gear consiglia agli utenti che hanno scaricato la versione dannosa dello strumento di eliminare tutti i file dalla cartella C:ProgramDataSynaptics e di scaricare nuovamente la versione sicura da questa pagina. Poiché il malware ha funzionalità keylogger e può aprire l’accesso remoto al sistema e rubare dati, si consiglia agli utenti interessati di eseguire una scansione completa del sistema con un antivirus e di assicurarsi che tutti i residui dell’infezione vengano distrutti.

Si consiglia inoltre di modificare le password di tutti gli account importanti, tra cui quelli dell’online banking, dei servizi di posta elettronica e dei profili di lavoro. Endgame Gear afferma che in futuro l’azienda eliminerà le pagine di download separate e aggiungerà la verifica dell’hash SHA e le firme digitali a tutti i file per verificarne l’integrità e l’autenticità della fonte.

Vale la pena notare che già a febbraio 2024 gli analisti di eSentire avevano lanciato l’allarme: XRed avrebbe potuto spacciarsi per Synaptics Pointing Device Driver. All’epoca, il malware veniva distribuito anche tramite software trojanizzato fornito con gli hub USB-C venduti su Amazon.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Massimiliano Brolli

Responsabile del RED Team di una grande azienda di Telecomunicazioni e dei laboratori di sicurezza informatica in ambito 4G/5G. Ha rivestito incarichi manageriali che vanno dal ICT Risk Management all’ingegneria del software alla docenza in master universitari.

Aree di competenza: Bug Hunting, Red Team, Cyber Threat Intelligence, Cyber Warfare e Geopolitica, Divulgazione