.

39% dos servidores de Counter-Strike 1.6 eram usados para infectar os jogadores

Enviado por VSDias55, , 954 visualizações, 0 comentários
Clique para ver a imagem em tamanho original

Quando estão jogando, a maioria das pessoas não se preocupam em serem infectadas pelo cliente do jogo. Novas pesquisas, no entanto, mostram que é exatamente o que está acontecendo, com 39% de todos os servidores dos jogos existentes de Counter-Strike 1.6 tentando infectar os jogadores através de vulnerabilidades no cliente do jogo.

Embora Counter-Strike 1.6 tenha quase 20 anos, ainda há uma forte base de jogadores e servidores no jogo. Com essa demanda, os provedores de host alugam os servidores do jogo mensalmente e oferecem outros serviços, como fazer propaganda do servidor de um cliente, a fim de aumentar sua popularidade.

Clique para ver a imagem em tamanho original

Em um novo relatório do Dr. Web, os pesquisadores explicam como um desenvolvedor está utilizando vulnerabilidades nos clientes do jogo, o botnet Belonard Trojan, e servidores maliciosos para promover os servidores de seus clientes e recrutar mais vítimas para o botnet. No seu auge, esse botnet cresceu tanto que aproximadamente 39% dos 5.000 servidores de Counter-Strike 1.6 eram de natureza maliciosa e tentavam infectar os jogadores conectados.

Usando esse padrão, o desenvolvedor do Trojan conseguiu criar um botnet que compõe uma parte considerável dos servidores de CS 1.6. Segundo nossos analistas, dos cerca de 5.000 servidores disponíveis no cliente oficial da Steam, 1.951 foram criados pelo Trojan Belonard. Isso representa 39% de todos os servidores do jogo. Uma rede dessa escala permitiu que o desenvolvedor do Trojan promovesse outros servidores em troca de dinheiro, os adicionando a listas de servidores disponíveis em clientes com o jogo infectado.


Clique para ver a imagem em tamanho original

O Belonard Trojan

A fim de promover os servidores de seus clientes, um desenvolvedor com um apelido de Belonard criou servidores maliciosos que, quando conectados a um cliente do Counter-Strike 1.6, infecta o jogador com o Belonard Trojan.

Para fazer isso, o botnet de Belonard utilizava clientes pré-infectados ou vulnerabilidades na execução de comandos remotos em clientes limpos, o que lhe permitia instalar o Trojan simplesmente por um jogador visitar um servidor malicioso. Como o cliente do jogo Counter-Strike 1.6 não é mais suportado, todos os jogadores deste jogo são vítimas em potencial deste botnet.

Clique para ver a imagem em tamanho original

Vamos abordar o processo de infectar um cliente com mais detalhes. Um jogador abre o cliente Steam oficial e seleciona um servidor do jogo. Ao se conectar a um servidor malicioso, isso explora uma vulnerabilidade RCE, fazendo upload de uma das bibliotecas maliciosas para o dispositivo da vítima. Dependendo do tipo de vulnerabilidade, uma das duas bibliotecas será baixada e executada: client.dll (Trojan.Belonard.1) ou Mssv24.asi (Trojan.Belonard.5).


Abaixo está um fluxo de ataque demonstrando como o Belonard funciona.

Clique para ver a imagem em tamanho original

Quando instalado, o Trojan criará um serviço no Windows chamado "Windows DHCP Service" e utilizará o valor ServiceDLL para carregar o Belonard Trojan salvo em C:\Windows\System32\WinDHCP.dll.

O Trojan substituirá os arquivos no cliente do jogo, que não apenas promove o site do invasor onde os clientes infectados podem ser baixados, mas também promove servidores falsos. Se um jogador tentar entrar em um desses servidores, ele será redirecionado para um servidor de jogo malicioso que usa a vulnerabilidade RCE para infectar a vítima com o Trojan Belonard.

Quando um jogador inicia o jogo, seu nick mudará para o endereço do site onde um cliente infectado pode ser baixado, enquanto o menu do jogo mostrará um link para a comunidade VKontakte CS 1.6 com mais de 11.500 assinantes.


Clique para ver a imagem em tamanho original

Desligando a Rede de Bots

Em coordenação com o domínio REG.ru, o Dr. Web conseguiu desligar os domínios que o Trojan usava para redirecionar os jogadores para servidores falsos. Isso ajudará a impedir que novos jogadores sejam infectados.

O Dr. Web também continuou a monitorar outros domínios utilizados pelo Algoritmo de Geração de Domínio do malware, mas até agora os Sinkholes puderam evitar novas infecções.

Infelizmente, a única maneira de impedir que esse botnet seja criado novamente é corrigir as vulnerabilidades no cliente. Como o Counter-Strike 1.6 foi o último cliente a ser lançado pela Valve, não espere que uma correção seja lançada.
VSDias55
Enviado por VSDias55
Membro desde
26 anos, Florianópolis
label