|
По словам экспертов по безопасности Dr. Web, 39% всех онлайн-игровых серверов в Counter-Strike 1.6 являются вредоносными. Одним из самых распространённых вирусов был Trojan.Belonard.
Игра Counter-Strike 1.6 была разработана Valve Corporation в 2000 году. Официальными клиентами Counter-Strike 1.6 пользуются около 20 000 игроков, а общее количество игровых серверов, зарегистрированных в Steam, превышает 5000.
Агенты угроз создали серверы вредоносного кода, пытаясь взломать компьютеры игроков по всему миру, используя уязвимости нулевого дня в игровом клиенте. Многие владельцы серверов зарабатывают деньги, продавая различные привилегии, такие как доступ к оружию и защита от запретов.
«Некоторые владельцы серверов рекламируют себя самостоятельно, в то время как другие покупают серверные услуги у подрядчиков. Оплатив услугу, клиенты часто забывают о том, насколько хорошо рекламируются их серверы.
Как выяснилось, разработчик по прозвищу Белонард прибег к нелегальным способам продвижения. Его сервер заражал устройства игроков трояном и использовал их учетные записи для продвижения других игровых серверов Владелец вредоносного сервера использует уязвимости в игровом клиенте. Эти сбои заражают пользователей недавно написанным трояном Belonard, который загружает вредоносное ПО для защиты трояна в системе и распространяет его среди других игроков (принадлежащих червю).
Эксперты Dr. Web сообщали, что злоумышленники используют два недостатка удаленного выполнения кода (RCE) в официальном клиенте игры, а также обнаружили четыре проблемы в пиратской версии.
Злоумышленник, создавший вредоносное ПО, смог заразить вредоносным ПО несколько серверов, создав мощную бот-сеть.
Разработчику трояна «Белонард» удалось создать ботнет, компрометирующий большое количество игровых серверов CS 1.6. Белонард также распространяет испорченный игровой клиент через свой сайт, версия заражена трояном Belonard.
После заражения устройства пользователя троянец заменяет список доступных игровых серверов и создает прокси для распространения.
«После настройки в системе Trojan.Belonard заменяет список доступных игровых серверов в игровом клиенте и создает на зараженном компьютере прокси-сервер для распространения троянца».
«Как правило, прокси-серверы показывают меньший пинг, поэтому другие игроки увидят их в верхней части списка. Выбрав один из них, игрок перенаправляется на вредоносный сервер, где его компьютер заражается Trojan.Belonard.
Троян. Bononard состоит из 11 компонентов, эксперты заметили, что вредоносный код работает по разным сценариям, в зависимости от игрового клиента. Если игрок использует официальный клиент, троянец заражает устройство, используя уязвимость RCE, через вредоносный сервер, а затем устанавливается в системе. Чистый пиратский клиент заражен таким же образом.
Если пользователь загружает зараженный клиент с веб-сайта, которым управляет владелец злонамеренного сервера, постоянство троянца в системе обеспечивается после первого запуска игры.
Эксперты отмечают, что один из компонентов, Trojan.Belonard.10, остается в системе и действует как защитник. Он способен фильтровать запросы, файлы и команды, полученные от других игровых серверов, и пересылать данные об изменениях между клиентом и трояном на сервер-троянский субъект. Этот троян действует как своего рода оркестр MITM.
Другой компонент, Trojan.Belonard.9, используется для создания прокси-серверов и регистрации их в API Steam.
«По словам аналитиков, из примерно 5000 серверов, доступных у официального клиента Steam, 1951 был создан трояном Belonard говорят исследователи.
Доктор Веб уже сообщал об ошибках в Valve Corporation. Охранная компания также сообщила о вредоносных доменных именах, использованных злоумышленником, которые были автоматически приостановлены российским регистратором «Аналитики».
«Доктор Веб» приняли все необходимые меры для нейтрализации трояна Belonard и предотвращения роста ботнета. Передача доменных имен, используемых разработчиком вредоносного ПО, была приостановлена с помощью регистратора доменных имен REG.ru.
Поскольку перенаправление с поддельного игрового сервера на вредоносный сервер происходило через доменное имя, игрокам CS 1.6 больше не будет угрожать соединение с вредоносным сервером и заражение трояном Belonard. Это прервало работу практически всех компонентов вредоносного ПО.
«В настоящее время ботнет Belonard можно считать нейтрализованным; но для обеспечения безопасности игровых клиентов Counter-Strike необходимо закрыть существующие уязвимости».
