Hackers que exploram vulnerabilidades de dia zero no cliente de jogo Counter-Strike 1.6 para infectar dispositivos do jogador usando um servidor de jogo malicioso e faz o download de malware em seus dispositivos.
O jogo Counter-Strike tem décadas, mas ainda tem um grande banco de dados de fãs, de acordo com pesquisadores, 20.000 jogadores usando clientes oficiais do CS 1.6. O cliente oficial do jogo contém duas vulnerabilidades de execução remota de código sem patches e quatro no vulnerável.
Um desenvolvedor de servidor de jogos maliciosos apelidado de "Belonard", explora essa vulnerabilidade RCE no software cliente do computador do jogador, uma vez conectado ao servidor malicioso.
O servidor de jogo malicioso explora a vulnerabilidade no dispositivo do jogador e faz o download de um Trojan apelidado de "Belonard".
Uma vez que a máquina infectada com o Trojan, ele substitui a lista de servidores de jogos disponíveis no cliente do jogo e cria proxies no computador infectado para espalhar o Trojan.
“Usando esse padrão, o desenvolvedor do Trojan conseguiu criar uma botnet que compõe uma parte considerável dos servidores de jogos CS 1.6. De acordo com nossos analistas, dos cerca de 5.000 servidores disponíveis do cliente oficial do Steam, 1.951 foram criados pelo Trojan Belonard. Isso é 39% de todos os servidores de jogos ”, diz o relatório da Dr.Web .
O desenvolvedor malicioso também distribui a versão pirata do jogo que já está infectado com o trojan, uma vez que o malware é lançado na máquina da vítima, ele ganha persistência no sistema.
Vulnerabilidades Counter-Strike
Uma vez que o jogador lança o cliente de jogo, se conecta com um servidor malicioso, ele explora a vulnerabilidade RCE no cliente.
Com base na vulnerabilidade, ele faz o download e executa o Trojan.Belonard.1 ou o Trojan.Belonard.5, posteriormente conecta-se ao servidor de comando e controle e envia a solicitação criptografada para baixar o arquivo criptografado em resposta. Aqui você pode ver o fluxograma de como o Trojan funciona.
“A carga útil do cavalo de Tróia é emular vários servidores de jogos falsos no dispositivo do usuário. Para fazer isso, o Trojan transfere informações sobre o cliente do jogo para o servidor do desenvolvedor e recebe parâmetros criptografados para criar servidores falsos em resposta ”.
O Trojan ataca e ganha persistência após o primeiro lançamento no dispositivo sem o consentimento do usuário. Os analistas da Doctor Web entraram em contato com o registro de domínio russo para suspender os domínios e impedir o crescimento da rede de bots.
“No presente momento, o botnet Belonard pode ser considerado neutralizado; mas, para garantir a segurança dos clientes do jogo Counter-Strike, é necessário fechar as vulnerabilidades atuais. ”
