39% dos servidores de Counter-Strike 1.6 eram usados para infectar os jogadores

#Notícia Publicado por VSDias55, em .

IMAGEaHR0cHM6Ly9jZG4uYW5kcm9pZGhlYWRsaW5lcy5jb20vd3AtY29udGVudC91cGxvYWRzLzIwMTYvMDQvQ1MtMS42LmpwZw==

Quando estão jogando, a maioria das pessoas não se preocupam em serem infectadas pelo cliente do jogo. Novas pesquisas, no entanto, mostram que é exatamente o que está acontecendo, com 39% de todos os servidores dos jogos existentes de Counter-Strike 1.6 tentando infectar os jogadores através de vulnerabilidades no cliente do jogo.

Embora Counter-Strike 1.6 tenha quase 20 anos, ainda há uma forte base de jogadores e servidores no jogo. Com essa demanda, os provedores de host alugam os servidores do jogo mensalmente e oferecem outros serviços, como fazer propaganda do servidor de um cliente, a fim de aumentar sua popularidade.

IMAGEaHR0cDovL2Rvd24tY3Muc3UvaW1hZ2VzL2xhcmdlL2NsZWFuMDEuanBn

Em um novo relatório do Dr. Web, os pesquisadores explicam como um desenvolvedor está utilizando vulnerabilidades nos clientes do jogo, o botnet Belonard Trojan, e servidores maliciosos para promover os servidores de seus clientes e recrutar mais vítimas para o botnet. No seu auge, esse botnet cresceu tanto que aproximadamente 39% dos 5.000 servidores de Counter-Strike 1.6 eram de natureza maliciosa e tentavam infectar os jogadores conectados.

Usando esse padrão, o desenvolvedor do Trojan conseguiu criar um botnet que compõe uma parte considerável dos servidores de CS 1.6. Segundo nossos analistas, dos cerca de 5.000 servidores disponíveis no cliente oficial da Steam, 1.951 foram criados pelo Trojan Belonard. Isso representa 39% de todos os servidores do jogo. Uma rede dessa escala permitiu que o desenvolvedor do Trojan promovesse outros servidores em troca de dinheiro, os adicionando a listas de servidores disponíveis em clientes com o jogo infectado.

IMAGEaHR0cHM6Ly9maWxlcy5nYW1lYmFuYW5hLmNvbS9pbWcvc3MvZ3Vpcy80ZWRiMWNhYzFmOTZiLmpwZw==

O Belonard Trojan

A fim de promover os servidores de seus clientes, um desenvolvedor com um apelido de Belonard criou servidores maliciosos que, quando conectados a um cliente do Counter-Strike 1.6, infecta o jogador com o Belonard Trojan.

Para fazer isso, o botnet de Belonard utilizava clientes pré-infectados ou vulnerabilidades na execução de comandos remotos em clientes limpos, o que lhe permitia instalar o Trojan simplesmente por um jogador visitar um servidor malicioso. Como o cliente do jogo Counter-Strike 1.6 não é mais suportado, todos os jogadores deste jogo são vítimas em potencial deste botnet.

IMAGEaHR0cDovL3d3dy5icmVha2luZ2F0bW8uY29tL3dwLWNvbnRlbnQvdXBsb2Fkcy8yMDE4LzAyLzAzLmpwZw==

Vamos abordar o processo de infectar um cliente com mais detalhes. Um jogador abre o cliente Steam oficial e seleciona um servidor do jogo. Ao se conectar a um servidor malicioso, isso explora uma vulnerabilidade RCE, fazendo upload de uma das bibliotecas maliciosas para o dispositivo da vítima. Dependendo do tipo de vulnerabilidade, uma das duas bibliotecas será baixada e executada: client.dll (Trojan.Belonard.1) ou Mssv24.asi (Trojan.Belonard.5).

Abaixo está um fluxo de ataque demonstrando como o Belonard funciona.

IMAGEaHR0cHM6Ly93d3cuYmxlZXBzdGF0aWMuY29tL2ltYWdlcy9uZXdzL3NlY3VyaXR5L3Z1bG5lcmFiaWxpdGllcy9jL2NvdW50ZXItc3RyaWtlLTEuNi9hdHRhY2stZmxvdy5qcGc=

Quando instalado, o Trojan criará um serviço no Windows chamado "Windows DHCP Service" e utilizará o valor ServiceDLL para carregar o Belonard Trojan salvo em C:\Windows\System32\WinDHCP.dll.

O Trojan substituirá os arquivos no cliente do jogo, que não apenas promove o site do invasor onde os clientes infectados podem ser baixados, mas também promove servidores falsos. Se um jogador tentar entrar em um desses servidores, ele será redirecionado para um servidor de jogo malicioso que usa a vulnerabilidade RCE para infectar a vítima com o Trojan Belonard.

Quando um jogador inicia o jogo, seu nick mudará para o endereço do site onde um cliente infectado pode ser baixado, enquanto o menu do jogo mostrará um link para a comunidade VKontakte CS 1.6 com mais de 11.500 assinantes.

IMAGEaHR0cHM6Ly9maWxlcy5nYW1lYmFuYW5hLmNvbS9pbWcvc3Mvc2tpbnMvNTQ1NjMzYzhiN2M2MC5qcGc=

Desligando a Rede de Bots

Em coordenação com o domínio REG.ru, o Dr. Web conseguiu desligar os domínios que o Trojan usava para redirecionar os jogadores para servidores falsos. Isso ajudará a impedir que novos jogadores sejam infectados.

O Dr. Web também continuou a monitorar outros domínios utilizados pelo Algoritmo de Geração de Domínio do malware, mas até agora os Sinkholes puderam evitar novas infecções.

Infelizmente, a única maneira de impedir que esse botnet seja criado novamente é corrigir as vulnerabilidades no cliente. Como o Counter-Strike 1.6 foi o último cliente a ser lançado pela Valve, não espere que uma correção seja lançada.

Vinicius
Vinicius #VSDias55
, Florianópolis
Deixe seu comentário para sabermos o que você achou da publicação
Não se esqueça que você pode participar do nosso Discord.
E também nos seguir no Facebook, Twitter, Instagram e na nossa curadorida da Steam.
Publicações que talvez você possa gostar
Pesquisa revela as franquias da Microsoft que jogadores de PlayStation mais gostariam de receber
Microsoft ficou surpresa com o quão longe foram os rumores, afirma Tom Henderson
Exodus está sendo co-desenvolvido com a Certain Affinity
Banishers: Ghosts of New Eden ganha 16 minutos de gameplay
Confira as notas iniciais que Foamstars vem recebendo
Stellar Blade é atualmente o 2º jogo com maior número de pré-vendas na PSN
Fate/Samurai Remnant ganha sua primeira expansão
Publicações em Destaque
Microsoft ficou surpresa com o quão longe foram os rumores, afirma Tom Henderson
#Games, Por VSDias55,
Diversos jogos da Microsoft podem chegar a outros consoles, afirmam jornalistas
#Games, Por VSDias55,
Phil Spencer promete compartilhar mais detalhes sobre o futuro do Xbox na próxima semana
#Games, Por coca,
David Jaffe afirma que o Game Pass colocou a Sony em apuros
#Games, Por VSDias55,
Mais Publicações