Sikkerhed forskere har opdaget et netværk af ondsindede Counter-Strike 1.6 multiplayer-servere, der udnyttes fjernkørsel af programkode (RCE) sårbarheder i brugernes gaming klienter til at inficere dem med en ny malware, stamme ved navn Belonard.
Netværket har været lukket ned, har forskere fra det russiske antivirus-firma Dr. Web, sagde i en rapport, der blev offentliggjort mandag.
Hele operationen stolede på proxy-multiplayer-servere at lokke brugere til at oprette forbindelse til dem på grund af lav ping værdier.
Når CS1.6 spillere, der tilsluttes disse proxy-servere, ville de blive omdirigeret til ondsindede dem, der har brugt en af fire RCEs (to i den officielle CS1.6 spil og to i en piratkopieret version) til at udføre kode og plante Belonard malware på deres Pc ‘ er.
Computere inficeret med Belonard alle blev tilføjet til et botnet-lignende struktur.
Belonard ville fremme annoncer og CS1.6 servere for et gebyr
Ifølge Dr. Web sikkerhedsekspert Ivan Korolev, personen bag et botnet vil derefter bruge Belonard malware til at foretage ændringer i brugernes CS1.6 klienter og vise annoncer, der er inde brugere’ spil.
“Når en spiller starter spillet, deres kaldenavn, vil ændringen til adressen på den hjemmeside, hvor en inficeret spil klient, der kan downloades, mens spillet menuen viser et link til Facebook CS 1.6 samfund med mere end 11,500 abonnenter,” Korolev sagde.
Men frem for alt, den trojanske blev primært brugt til at fremme legitime CS1.6 multiplayer-servere ved at tilføje dem til brugernes rådighed server liste, som Belonard udvikler ville gøre for et gebyr.
Belonard ofre vil også hjælpe med at inficere andre brugere
At sørge for, at Belonard botnet voksede og forblev aktive, malware forfatter havde også et andet trick ned på deres ærme.
I henhold til Korolev, Belonard malware vil også skabe proxy-servere, der kører på brugernes computere.
Disse servere vil derefter blive vist i main-CS1.6 multiplayer server liste, som andre brugere vil kunne se og oprette forbindelse til, at tro, at de var legitime servere.
Men disse proxy-servere vil omdirigere spillere til ondsindede servere, der hoster de fire RCEs, inficere nye spillere, og til at fremme det Belonard botnet ‘ s rækker.
Billede: Dr. Web
I henhold til Korolev, Belonard netværk af proxy-servere voksede til at nå 1,951 servere, som tegnede sig for 39 procent af alle CS1.6 multiplayer-servere til rådighed på det tidspunkt.
Dr. Web forsker siger, at de arbejdede med REG.ru domæne registrator til at tage ned alle de domænenavne, at Belonard besætningen var med til at drive deres botnet.
Efter overtagelsen af de domæner, Dr. Web sagde, at 127 spil klienter, der har forsøgt at oprette forbindelse til sinkholed domæne, men antallet af inficerede værter er sandsynligvis meget større.
Korolev fortalte ZDNet, at han meddelt Ventil, CS1.6 kaffefaciliteter, om de to nul-dage. Virksomheden lovede en patch, men afviste at sige hvornår.
I henhold til Korolev, at brugerne kan genkende Belonard proxy-servere på grund af en fejl i sin kode, der vises serveren type spil som “Counter-Strike 1,” “Counter-Strike 2,” eller “”Counter-Strike 3” i stedet for standard “Counter-Strike 1.6.”
Billede: Dr. Web
Mere sårbarhed rapporter:
Apple, Google, GoDaddy misissued TLS-certifikater med svage seriel numbersMicrosoft Marts Patch tirsdag kommer med rettelser til Windows nul-dage
Google Chrome nul-dag blev brugt sammen med en Windows 7-nul-dayWDS fejl lader hackere kapre Windows-Servere via misdannet TFTP packetsVulnerability i Schweiziske e-valgsystem, der kunne have ført til afstemning alterationsCisco fortæller Nexus skifte ejere til at deaktivere POAP funktionen for sikkerhed reasonsDJI rettelser svaghed, at lade potentielle hackere spion på droner CNETTop 10 app sårbarheder: Unpatched plugins og udvidelser dominere TechRepublic
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre