Вредоносные серверы Counter-Strike 1.6 использовали нулевые дни для заражения пользователей вредоносным ПО

Dr.Web: 39 процентов всех серверов Counter-Strike 1.6 были вредоносными и пытались заразить пользователей вредоносным ПО.

Каталин Чимпану за нулевой день | 13 марта 2019. 21:25 GMT (14:25 PDT) | Тема: Безопасность

Исследователи безопасности обнаружили сеть вредоносных многопользовательских серверов Counter-Strike 1.6, которые использовали уязвимости удаленного выполнения кода (RCE) в игровых клиентах пользователей, чтобы заразить их новым штаммом вредоносных программ под названием Belonard.

Сеть была закрыта, сообщили исследователи из российской антивирусной компании Dr.Web в отчете, опубликованном в понедельник.

Вся операция основывалась на многопользовательских прокси-серверах, которые соблазняли пользователей подключаться к ним из-за низких значений ping.

Когда геймеры CS1.6 подключаются к этим прокси-серверам, они перенаправляются на вредоносные, которые используют одну из четырех RCE (две в официальной игре CS1.6 и две в пиратской версии) для выполнения кода и установки вредоносного ПО Belonard на их ПК.

Читайте так же

OnePlus 7 не будет использовать беспроводную заряд... OnePlus 7 не поддерживает беспроводную зарядку. Прототип OnePlus 5, показанный выше Особенности Генеральный директор Пит Лау говорит, что это не ...
День Святого Валентина, фильмы на Netflix, Amazon ... Основные фильмы, которые можно посмотреть вместе с любимым на этой неделе в рамках празднования Дня святого Валентина. мы изучили различные потоков...
По словам HMD Global, устройства Nokia 7 Plus отпр... Особенности В докладе говорится, что телефоны Nokia тайно отправляли информацию в Китай. HMD Global сообщает, что никакие личные данные не были ...

Все компьютеры, зараженные Belonard, были добавлены в структуру, похожую на ботнет.

Белонард будет продвигать рекламу и серверы CS1.6 за плату

По словам исследователя Dr.Web по безопасности Ивана Королева, человек, стоящий за ботнетом, будет затем использовать вредоносное ПО Belonard для внесения изменений в клиентские клиенты CS1.6 и показа рекламы в играх пользователей.

«Когда игрок запускает игру, его псевдоним изменится на адрес веб-сайта, на который можно загрузить зараженный игровой клиент, а в меню игры будет отображаться ссылка на сообщество ВКонтакте 1.6 с более чем 11 500 подписчиками». сказал Королев. ,

Но, прежде всего, троян был в основном использован для продвижения законных многопользовательских серверов CS1.6, добавляя их в список доступных серверов пользователей, что разработчик Belonard сделает за плату.

Жертвы Белонарда также помогут заразить других пользователей.

Чтобы удостовериться, что ботнет Belonard рос и оставался активным, у автора вредоносного ПО также был еще один прием.

По словам Королева, вредоносная программа Belonard также создаст прокси-серверы, работающие на компьютерах пользователей.

Затем эти серверы появятся в основном списке многопользовательских серверов CS1.6, который другие пользователи увидят и подключат, думая, что они являются законными серверами.

Читайте так же

День Святого Валентина, фильмы на Netflix, Amazon ... Основные фильмы, которые можно посмотреть вместе с любимым на этой неделе в рамках празднования Дня святого Валентина. мы изучили различные потоков...
По словам HMD Global, устройства Nokia 7 Plus отпр... Особенности В докладе говорится, что телефоны Nokia тайно отправляли информацию в Китай. HMD Global сообщает, что никакие личные данные не были ...
Как предотвратить отслеживание вашего местоположен... Когда вы думаете о компаниях, которые представляют такие столпы, как «конфиденциальность» или «безопасность», Facebook довольно далеко от верхней част...

Однако эти прокси-серверы перенаправляют игроков на вредоносные серверы, на которых размещаются четыре RCE, заражая новых игроков и повышая рейтинг ботнетов Belonard.

По словам Королева, сеть прокси-серверов Belonard выросла до 1951 сервера, что составило 39 процентов от всех многопользовательских серверов CS1.6, доступных в то время.

Исследователь Dr.Web говорит, что они работали с регистратором доменов REG.ru, чтобы убрать все доменные имена, которые команда Белонарда использовала для работы своего ботнета.

После захвата доменов Dr.Web сказал, что 127 игровых клиентов пытались подключиться к домену-воронке, но число зараженных хостов, скорее всего, намного больше.

Королев рассказал ZDNet что он уведомил Valve, производителя CS1.6, о двух нулевых днях. Компания обещала патч, но отказалась сообщить, когда.

По словам Королева, пользователи могут распознавать прокси-серверы Белонарда из-за ошибки в коде, которая отображала тип игры сервера как «Counter-Strike 1», «Counter-Strike 2» или «Counter-Strike 3» вместо стандартного «Контр страйк 1.6.»

Читайте так же

День Святого Валентина, фильмы на Netflix, Amazon ... Основные фильмы, которые можно посмотреть вместе с любимым на этой неделе в рамках празднования Дня святого Валентина. мы изучили различные потоков...
OnePlus 7 не будет использовать беспроводную заряд... OnePlus 7 не поддерживает беспроводную зарядку. Прототип OnePlus 5, показанный выше Особенности Генеральный директор Пит Лау говорит, что это не ...
По словам HMD Global, устройства Nokia 7 Plus отпр... Особенности В докладе говорится, что телефоны Nokia тайно отправляли информацию в Китай. HMD Global сообщает, что никакие личные данные не были ...