39% dos servidores de Counter-Strike 1.6 eram usados para infectar os jogadores
IMAGEaHR0cHM6Ly9jZG4uYW5kcm9pZGhlYWRsaW5lcy5jb20vd3AtY29udGVudC91cGxvYWRzLzIwMTYvMDQvQ1MtMS42LmpwZw==
Quando estão jogando, a maioria das pessoas não se preocupam em serem infectadas pelo cliente do jogo. Novas pesquisas, no entanto, mostram que é exatamente o que está acontecendo, com 39% de todos os servidores dos jogos existentes de Counter-Strike 1.6 tentando infectar os jogadores através de vulnerabilidades no cliente do jogo.
Embora Counter-Strike 1.6 tenha quase 20 anos, ainda há uma forte base de jogadores e servidores no jogo. Com essa demanda, os provedores de host alugam os servidores do jogo mensalmente e oferecem outros serviços, como fazer propaganda do servidor de um cliente, a fim de aumentar sua popularidade.
IMAGEaHR0cDovL2Rvd24tY3Muc3UvaW1hZ2VzL2xhcmdlL2NsZWFuMDEuanBn
Em um novo relatório do Dr. Web, os pesquisadores explicam como um desenvolvedor está utilizando vulnerabilidades nos clientes do jogo, o botnet Belonard Trojan, e servidores maliciosos para promover os servidores de seus clientes e recrutar mais vítimas para o botnet. No seu auge, esse botnet cresceu tanto que aproximadamente 39% dos 5.000 servidores de Counter-Strike 1.6 eram de natureza maliciosa e tentavam infectar os jogadores conectados.
IMAGEaHR0cHM6Ly9maWxlcy5nYW1lYmFuYW5hLmNvbS9pbWcvc3MvZ3Vpcy80ZWRiMWNhYzFmOTZiLmpwZw==
O Belonard Trojan
A fim de promover os servidores de seus clientes, um desenvolvedor com um apelido de Belonard criou servidores maliciosos que, quando conectados a um cliente do Counter-Strike 1.6, infecta o jogador com o Belonard Trojan.
Para fazer isso, o botnet de Belonard utilizava clientes pré-infectados ou vulnerabilidades na execução de comandos remotos em clientes limpos, o que lhe permitia instalar o Trojan simplesmente por um jogador visitar um servidor malicioso. Como o cliente do jogo Counter-Strike 1.6 não é mais suportado, todos os jogadores deste jogo são vítimas em potencial deste botnet.
IMAGEaHR0cDovL3d3dy5icmVha2luZ2F0bW8uY29tL3dwLWNvbnRlbnQvdXBsb2Fkcy8yMDE4LzAyLzAzLmpwZw==
Abaixo está um fluxo de ataque demonstrando como o Belonard funciona.
IMAGEaHR0cHM6Ly93d3cuYmxlZXBzdGF0aWMuY29tL2ltYWdlcy9uZXdzL3NlY3VyaXR5L3Z1bG5lcmFiaWxpdGllcy9jL2NvdW50ZXItc3RyaWtlLTEuNi9hdHRhY2stZmxvdy5qcGc=
Quando instalado, o Trojan criará um serviço no Windows chamado "Windows DHCP Service" e utilizará o valor ServiceDLL para carregar o Belonard Trojan salvo em C:\Windows\System32\WinDHCP.dll.
O Trojan substituirá os arquivos no cliente do jogo, que não apenas promove o site do invasor onde os clientes infectados podem ser baixados, mas também promove servidores falsos. Se um jogador tentar entrar em um desses servidores, ele será redirecionado para um servidor de jogo malicioso que usa a vulnerabilidade RCE para infectar a vítima com o Trojan Belonard.
IMAGEaHR0cHM6Ly9maWxlcy5nYW1lYmFuYW5hLmNvbS9pbWcvc3Mvc2tpbnMvNTQ1NjMzYzhiN2M2MC5qcGc=
Desligando a Rede de Bots
Em coordenação com o domínio REG.ru, o Dr. Web conseguiu desligar os domínios que o Trojan usava para redirecionar os jogadores para servidores falsos. Isso ajudará a impedir que novos jogadores sejam infectados.
O Dr. Web também continuou a monitorar outros domínios utilizados pelo Algoritmo de Geração de Domínio do malware, mas até agora os Sinkholes puderam evitar novas infecções.
Infelizmente, a única maneira de impedir que esse botnet seja criado novamente é corrigir as vulnerabilidades no cliente. Como o Counter-Strike 1.6 foi o último cliente a ser lançado pela Valve, não espere que uma correção seja lançada.