Аналитики компании «Доктор Веб» сообщают о трояне Belonard, который атаковал игроков культовой (несмотря на 15-летний возраст) онлайн-игры Counter-Strike 1.6. Сообщается, что для проникновения на устройства жертв зловред использует RCE-уязвимости нулевого дня в клиенте игры.
А вот дальше происходит нечто интересное: после закрепления в системе Belonard подменяет в программе список доступных игровых серверов на те, за продвижение которых заплатили его автору, а также создает прокси-серверы, через которые распространяется дальше. Собственно заражение происходит при подключении к серверу, принадлежащему автору зловреда. При этом – второй любопытный момент – процесс заражения различается в зависимости от того, какой клиент установлен на компьютере жертвы. Если программа «чистая», троян задействует одну из RCE-уязвимостей, которых в официальном клиенте как минимум две, а в пиратском– по меньшей мере четыре.
Если жертва скачала игру с сайта автора трояна, то в ней уже содержится компонент зловреда Mssv36.asi, который запускается вместе с клиентом. Всего Belonard состоит из 11 модулей. Большинство из них отвечает за закрепление в системе и загрузку своих собратьев. Зловред создает на устройстве прокси-серверы. Благодаря низкому пингу они оказываются в самом верху списка серверов у еще не зараженных игроков. Если новая жертва попытается подключиться к прокси-серверу, тот перенаправит ее на вредоносный сервер.
По данным «Доктора Веба», на текущий момент из 5 тыс. игровых серверов Counter-Strike 1.6 1951 создан трояном Belonard, а количество пострадавших пользователей – более тысячи. Благодаря бот-сети такого размера автор зловреда успешно продает услуги по раскрутке реальных игровых серверов: с этой целью Belonard подменяет список доступных ресурсов в зараженных клиентах.
В настоящее время специалисты по кибербезопасности совместно с регистратором REG.ru сняли с делегирования домены, принадлежащие злоумышленнику. Это позволило остановить цепочку заражений и обезвредить огромный ботнет. Однако пока уязвимости не закрыты, говорить о безопасности игроков рано. Специалисты проинформировали разработчика игры Valve об этих и других багах, но дата выхода патчей пока не известна (и не факт, что предвидится, для игры 2003 года выпуска).
Counter-Strike — многопользовательская компьютерная игра в жанре шутера от первого лица, первоначально пользовательская модификация к игре Half-Life, затем самостоятельная игра (в этом качестве Counter-Strike в начале 2000-х был самой популярной игрой в мире). Игра была в разные годы портирована на ряд платформ, в том числе macOS, Linux и Xbox. Версия «1.6» — последнее крупное обновление, которое игра получила в 2003 году.
Читайте также на АКБ:
…В последнее время китайские хакеры Winnti облюбовали игровые компании, реализуя таким образом атаки на цепочку поставок. По информации исследователей ESET, в ходе атаки злоумышленники успешно инфицировали бэкдорами две игры и одну игровую платформу, из-за чего пострадали десятки или даже сотни тысяч пользователей.
Хотя к настоящему моменту два продукта уже избавлены от бэкдоров, по-прежнему заражена игра Infestation («Заражение»), созданная тайскими разработчиками Electronics Extreme. Специалисты ESET пытались уведомить разработчиков о происходящем на протяжении всего февраля 2019 года, однако так и не сумели выйти с ними на связь. Всем поклонникам Infestation рекомендуется удалить игру как можно скорее.
