Вредоносные серверы Counter-Strike 1.6 использовали нулевые дни для заражения пользователей вредоносным ПО

Dr.Web: 39 процентов всех серверов Counter-Strike 1.6 были вредоносными и пытались заразить пользователей вредоносным ПО.

Каталин Чимпану за нулевой день | 13 марта 2019. 21:25 GMT (14:25 PDT) | Тема: Безопасность

Исследователи безопасности обнаружили сеть вредоносных многопользовательских серверов Counter-Strike 1.6, которые использовали уязвимости удаленного выполнения кода (RCE) в игровых клиентах пользователей, чтобы заразить их новым штаммом вредоносных программ под названием Belonard.

Сеть была закрыта, сообщили исследователи из российской антивирусной компании Dr.Web в отчете, опубликованном в понедельник.

Вся операция основывалась на многопользовательских прокси-серверах, которые соблазняли пользователей подключаться к ним из-за низких значений ping.

Когда геймеры CS1.6 подключаются к этим прокси-серверам, они перенаправляются на вредоносные, которые используют одну из четырех RCE (две в официальной игре CS1.6 и две в пиратской версии) для выполнения кода и установки вредоносного ПО Belonard на их ПК.

Читайте так же

День Святого Валентина, фильмы на Netflix, Amazon ... Основные фильмы, которые можно посмотреть вместе с любимым на этой неделе в рамках празднования Дня святого Валентина. мы изучили различные потоков...
По словам HMD Global, устройства Nokia 7 Plus отпр... Особенности В докладе говорится, что телефоны Nokia тайно отправляли информацию в Китай. HMD Global сообщает, что никакие личные данные не были ...
Лучшие приложения Apple Watch, которые мы использо... Обязательные приложения Apple Watch для фитнеса, сна и путешествий Это был интересный год для приложений Apple Watch. Весной казалось, что часы утрат...

Все компьютеры, зараженные Belonard, были добавлены в структуру, похожую на ботнет.

Белонард будет продвигать рекламу и серверы CS1.6 за плату

По словам исследователя Dr.Web по безопасности Ивана Королева, человек, стоящий за ботнетом, будет затем использовать вредоносное ПО Belonard для внесения изменений в клиентские клиенты CS1.6 и показа рекламы в играх пользователей.

«Когда игрок запускает игру, его псевдоним изменится на адрес веб-сайта, на который можно загрузить зараженный игровой клиент, а в меню игры будет отображаться ссылка на сообщество ВКонтакте 1.6 с более чем 11 500 подписчиками». сказал Королев. ,

Но, прежде всего, троян был в основном использован для продвижения законных многопользовательских серверов CS1.6, добавляя их в список доступных серверов пользователей, что разработчик Belonard сделает за плату.

Жертвы Белонарда также помогут заразить других пользователей.

Чтобы удостовериться, что ботнет Belonard рос и оставался активным, у автора вредоносного ПО также был еще один прием.

По словам Королева, вредоносная программа Belonard также создаст прокси-серверы, работающие на компьютерах пользователей.

Затем эти серверы появятся в основном списке многопользовательских серверов CS1.6, который другие пользователи увидят и подключат, думая, что они являются законными серверами.

Читайте так же

Fallout 76 ЗАМЕЧАНИЯ ПО ПАТЧУ — 9 апреля обн... FALLOUT 76 добавляет новый контент Wild Appalachia как часть патча 8 для PS4, Xbox One и ПК. Обновление Fallout 76 (Изображение: BETHESDA) Сегодня F...
Лучшие приложения Apple Watch, которые мы использо... Обязательные приложения Apple Watch для фитнеса, сна и путешествий Это был интересный год для приложений Apple Watch. Весной казалось, что часы утрат...
По словам HMD Global, устройства Nokia 7 Plus отпр... Особенности В докладе говорится, что телефоны Nokia тайно отправляли информацию в Китай. HMD Global сообщает, что никакие личные данные не были ...

Однако эти прокси-серверы перенаправляют игроков на вредоносные серверы, на которых размещаются четыре RCE, заражая новых игроков и повышая рейтинг ботнетов Belonard.

По словам Королева, сеть прокси-серверов Belonard выросла до 1951 сервера, что составило 39 процентов от всех многопользовательских серверов CS1.6, доступных в то время.

Исследователь Dr.Web говорит, что они работали с регистратором доменов REG.ru, чтобы убрать все доменные имена, которые команда Белонарда использовала для работы своего ботнета.

После захвата доменов Dr.Web сказал, что 127 игровых клиентов пытались подключиться к домену-воронке, но число зараженных хостов, скорее всего, намного больше.

Королев рассказал ZDNet что он уведомил Valve, производителя CS1.6, о двух нулевых днях. Компания обещала патч, но отказалась сообщить, когда.

По словам Королева, пользователи могут распознавать прокси-серверы Белонарда из-за ошибки в коде, которая отображала тип игры сервера как «Counter-Strike 1», «Counter-Strike 2» или «Counter-Strike 3» вместо стандартного «Контр страйк 1.6.»

Читайте так же

По словам HMD Global, устройства Nokia 7 Plus отпр... Особенности В докладе говорится, что телефоны Nokia тайно отправляли информацию в Китай. HMD Global сообщает, что никакие личные данные не были ...
День Святого Валентина, фильмы на Netflix, Amazon ... Основные фильмы, которые можно посмотреть вместе с любимым на этой неделе в рамках празднования Дня святого Валентина. мы изучили различные потоков...
Как предотвратить отслеживание вашего местоположен... Когда вы думаете о компаниях, которые представляют такие столпы, как «конфиденциальность» или «безопасность», Facebook довольно далеко от верхней част...