Proteção de Dados – Zero-Day no cliente Counter-Strike é usado para construir Botnet.

Netranet

4 anos atrás

Blog Netranet Networking | Proteção de Dados – Zero-Day no cliente Counter-Strike é usado para construir Botnet.

Proteção de dados – Um total de 39% dos servidores de jogos do Counter-Strike 1.6 no Steam foram considerados maliciosos.

Um proprietário de um serviço de promoção de servidor de jogos Counter-Strike utilizou vários “zero-day” no cliente Counter-Strike para criar um grande botnet.

A rede é formada por servidores de jogos falsos para o popular jogo multijogador on-line.

O atacante teve um pouco de sucesso. Em uma análise recente, 39% de todos os servidores de jogos existentes do Counter-Strike 1.6 (CS 1.6) vistos on-line foram considerados maliciosos.

De acordo com sua proprietária Valve, no mundo há 300 milhões de jogadores do Counter-Strike, um jogo de tiro em primeira pessoa.

Enquanto o Counter-Strike 1.6 é uma versão mais antiga que não está em desenvolvimento ativo há anos, de acordo com pesquisadores, o número de jogadores usando clientes oficiais do CS 1.6 atinge uma média de 20.000 clientes online a qualquer momento. Portanto, isso ainda representa um campo fértil para os cibercriminosos aumentarem suas atividades nefastas.

Como pano de fundo, os jogadores podem optar por comprar um servidor Counter-Strike dedicado, que permite que eles tenham recursos de processador na nuvem que são dedicados à sua própria jogabilidade – isso reduz o atraso e oferece maior confiabilidade do que os usuários ao jogar em um servidor local / residencial.

Os proprietários desses servidores de jogos privados também podem optar por hospedar outros jogadores, e assim, vender e alugar servidores de jogos tornou-se uma espécie de indústria caseira.

Os proprietários de servidores de jogos geralmente tentam monetizar suas plataformas oferecendo vários privilégios, como proteção contra proibições, “skins”, acesso a armas especiais e assim por diante.

Assim, junto com isso, surge um mercado para promoção e publicidade de servidores de jogos.

“Por exemplo, aumentar a classificação de um servidor por uma semana custa cerca de 200 rublos (US$ 3), o que não é muito, mas um grande número de compradores faz dessa estratégia um modelo de negócios bastante bem-sucedido“, explicaram pesquisadores em proteção de dados em uma publicação nesta semana.

Uma operadora de servidor, que atende pela alça “Belonard”, vende serviços de promoção para proprietários de servidores privados – enquanto explora o “zero-day” no cliente Counter-Strike para lançar um trojan mal-intencionado nos gamers ao longo do caminho.

Blog Netranet Networking | Segurança da Informação – Sophos InterceptX . Conheça a melhor proteção contra ransomware do mundo.

Corrente de Ataque

Proteção de Dados – O Belonard foi visto usando duas vulnerabilidades zero-day desconhecidas de execução remota de código (RCE) no cliente do Counter-Strike para espalhar um trojan personalizado através de um ataque botnet, de acordo com pesquisadores.

“Um jogador lança o cliente oficial do Steam e seleciona um servidor de jogo”, disseram os pesquisadores. “Ao se conectar a um servidor mal-intencionado, ele explora uma vulnerabilidade RCE, carregando bibliotecas maliciosas no dispositivo da vítima. Dependendo do tipo de vulnerabilidade, uma das duas bibliotecas será baixada e executada: client.dll (Trojan.Belonard.1) ou Mssv24.asi (Trojan.Belonard.5).”

A empresa não divulgou detalhes sobre as vulnerabilidades, mas explicou a cadeia de ataque ainda mais, observando que o trojan cria servidores de jogos falsos da Valve (não confundir com os servidores privados que acabaram de ser discutidos) que são projetados para ter ‘baixo ping’.

Nos jogos baseados em servidor em que o timing é fundamental, como em shooters de primeira pessoa como o Counter-Strike, “low ping” significa menos tempo de atraso nas comunicações que fluem entre os clientes dos jogadores e os servidores de jogos. Isso, por sua vez, se traduz em jogabilidade mais suave e permite que os jogadores sejam mais reativos e competitivos.

No Counter-Strike, os jogadores são automaticamente emparelhados com o melhor servidor público, hospedado pela Valve, com a menor taxa de ping, ou podem escolher manualmente um. Felizmente, o cliente CS 1.6 mostra aos jogadores uma lista de servidores disponíveis junto com suas taxas de ping. O trojan aproveita isso para atrair as vítimas.

“Uma vez configurado no sistema, o Trojan.Belonard substitui a lista de servidores de jogos disponíveis no cliente do jogo e cria proxies no computador infectado para espalhar o trojan”, explicou a empresa. “Como regra geral, os servidores proxy mostram um ping menor, para que outros jogadores os vejam no topo da lista.”

Depois de selecionar (ou combinar com) um desses servidores proxy atraentes de baixa oscilação na lista de plataformas disponíveis do cliente, um jogador é redirecionado para um servidor mal-intencionado, onde o computador do usuário é infectado pelo Trojan.Belonard. O novo computador infectado, por sua vez, é colocado em ação espalhando o trojan ainda mais.

De acordo com a análise, dos 5.000 servidores disponíveis na plataforma Steam oficial, 1.951 foram falsificados, servidores proxy criados pelo trojan Belonard – o que equivale a 39% de todos os servidores de jogos disponíveis.

O ponto de tudo isso? Ganho financeiro, claro.

“Uma rede dessa escala permitiu que o desenvolvedor do trojan promovesse outros servidores [legítimos, privados] por dinheiro, adicionando-os a listas de servidores disponíveis em clientes de jogos infectados”.

O botnet foi interrompido, de acordo com relatórios no Twitterverse. Mas ameaças semelhantes podem estar sempre à vista se as falhas permanecerem sem correção. Os jogadores de CS devem ficar preocupados com proteção de dados e se protegerem!

Tem algo a dizer sobre este artigo? Comente abaixo ou compartilhe conosco no Facebook, Twitter ou no nosso LinkedIn.