SOS :: Security Operation Space
27 мая, понедельник, 00:00
|
Hot News:

Троян Belonard создал ботнет на базе Counter-Strike 1.6

14 марта 2019 г., четверг, 05:42

Автор зловреда использовал зомби-сеть, чтобы зарабатывать на раскрутке игровых серверов.

Аналитики компании «Доктор Веб» изучили троян Belonard, атаковавший игроков Counter-Strike 1.6. Для проникновения на устройства жертв зловред использует RCE-уязвимости нулевого дня в клиенте игры. После закрепления в системе Belonard подменяет в программе список доступных игровых серверов на те, за продвижение которых заплатили его автору, а также создает прокси-серверы, через которые распространяется дальше.

Заражение происходит при подключении к серверу, принадлежащему автору зловреда. Процесс различается в зависимости от того, какой клиент установлен на компьютере жертвы. Если программа «чистая», троян задействует одну из RCE-уязвимостей, которых в официальном клиенте как минимум две, а в пиратском — по меньшей мере четыре. В этом случае на компьютер жертвы загружается библиотека client.dll или один из файлов — Mssv24.asi или FileSystem.asi. Последний используется только в пиратских копиях клиента.

Если жертва скачала игру с сайта автора трояна, то в ней уже содержится компонент зловреда Mssv36.asi, который запускается вместе с клиентом. Всего Belonard состоит из 11 модулей. Большинство из них отвечает за закрепление в системе и загрузку своих собратьев.

После успешной атаки на клиент, через который жертва подключилась к вредоносному серверу, зловред находит и заражает другие установленные на компьютере копии игры, а также создает на устройстве прокси-серверы. Благодаря низкому пингу они оказываются в самом верху списка серверов у еще не зараженных игроков. Если новая жертва попытается подключиться к прокси-серверу, тот перенаправит ее на вредоносный сервер.

По данным «Доктора Веба», из 5 тыс. игровых серверов Counter-Strike 1.6 1951 создан трояном Belonard, а количество пострадавших пользователей — более тысячи. Благодаря бот-сети такого размера автор зловреда успешно продает услуги по раскрутке реальных игровых серверов: с этой целью Belonard подменяет список доступных ресурсов в зараженных клиентах. При этом заказчики зачастую даже не подозревают, какими методами осуществляется раскрутка их серверов.

ИБ-эксперты совместно с регистратором REG.ru сняли с делегирования домены, принадлежащие злоумышленнику. Это позволило остановить цепочку заражений и обезвредить огромный ботнет. Однако пока уязвимости не закрыты, говорить о безопасности игроков рано. Специалисты проинформировали разработчика игры Valve об этих и других багах, но дата выхода патчей пока не известна.

Преступники нередко используют популярность онлайн-игр в собственных целях. Так, злоумышленники заразили бэкдором компьютеры десятков тысяч пользователей в Таиланде, Тайване и на Филиппинах через цепочку поставок. Зловред был замаскирован под файлы видеоигр.

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
15:53
14:33
14:15
13:15
11:15
11:15
10:15
09:15
08:15
07:15
07:15
06:15
16:35
14:15
13:45
13:39
13:15
11:15


© 2013—2019 SOS :: Security Operation Space (Пространство Операций Безопасности)  // Обратная связь  | 0.275
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.