Säkerhetsforskare har upptäckt ett nätverk av skadliga Counter-Strike 1.6 multiplayer-servrar som utnyttjas fjärrkörning av kod (RCE) sårbarheter i-användare’ gaming-klienter för att infektera dem med en ny skadlig kod stam som heter Belonard.
Nätverket har stängts, forskare från ryska antivirus företaget Dr. Web sade i en rapport som publicerades på måndagen.
Hela verksamheten förlitat sig på proxy multiplayer-servrar som lockade användare att ansluta till dem på grund av låg ping värden.
När CS1.6 spelare som är kopplade till dessa proxy-servrar, att de skulle bli omdirigerad till skadlig de som använt en av fyra RCEs (två i den officiella CS1.6 spel och två i en piratkopierad version) för att köra kod och plantera Belonard skadlig kod på sina Datorer.
Datorer infekterade med Belonard var allt läggs till en botnet-liknande struktur.
Belonard skulle främja annonser och CS1.6 servrar för en avgift
Enligt Dr. Web security forskaren Ivan Korolev, personen bakom botnätet skulle sedan använda Belonard skadlig kod för att göra ändringar till användarnas CS1.6 kunder och visa annonser inne användare’ spel.
“När en spelare börjar spelet, deras smeknamn ändra adressen för den webbplats där en infekterad spelet klient som kan laddas ner, medan spelet menyn kommer att visa en länk till den VKontakte CS 1.6 gemenskapen med mer än 11,500 abonnenter,” Korolev sagt.
Men framför allt, den trojanska var i första hand används för att främja laglig CS1.6 multiplayer-servrar genom att lägga till dem till användarnas tillgänglig server lista, som Belonard utvecklare skulle göra för en avgift.
Belonard offer skulle också hjälpa till att infektera andra användare
För att se till att Belonard botnet växte och var aktiv, malware författare hade också ett annat knep ner sin ärm.
Enligt Korolev, Belonard malware skulle också skapa proxy-servrar som körs på användarnas datorer.
Dessa servrar sedan skulle visas i main-CS1.6 multiplayer server lista som andra användare skulle se och ansluta, tänker de var legitima servrar.
Men dessa proxy-servrar skulle omdirigera spelare till skadliga servrar hosting de fyra RCEs, infekterar nya spelare, och för att höja Belonard botnet s led.
Bild: Dr. Web
Enligt Korolev, Belonard nätverk av proxy servrar ökade för att nå 1, 951totalt servrar, som stod för 39 procent av alla CS1.6 multiplayer-servrar tillgängliga på den tiden.
Dr. Web forskare säger att de arbetade med REG.ru domänregistrator och ta ner alla domännamn som Belonard besättningen använder för att bedriva sin botnät.
Efter att ha tagit över domäner, Dr. Web sade att 127 spel klienter försökt att ansluta till sinkholed domän, men antalet infekterade värdar är mest sannolikt mycket större.
Korolev berättade ZDNet att han anmält Ventil, CS1.6 tekokare, om två noll dagar. Företaget lovade en patch, men avböjde att säga när.
Enligt Korolev, användare kan känna igen Belonard proxy-servrar på grund av en bugg i koden som visas servern typ av spel så som “Counter-Strike 1,” “Counter-Strike 2,” eller “och”Counter-Strike 3” i stället för det vanliga “Counter-Strike 1.6.”
Bild: Dr. Web
Mer sårbarhet rapporter:
Apple, Google, GoDaddy misissued TLS-certifikat med svag seriell numbersMicrosoft Mars Patch tisdag kommer med korrigeringar för två Windows-noll-dagar
Google Chrome zero-day användes tillsammans med en Windows 7-noll-dayWDS bugg gör att hackare kapa Windows-Servrar via felaktigt TFTP packetsVulnerability i Schweiziska e-röstningssystem som kunde ha lett till att rösta alterationsCisco berättar Nexus byta ägare för att inaktivera POAP funktionen för säkerhet reasonsDJI åtgärdar säkerhetsproblem som gör att hackare spy på drönare CNETTop 10 appen sårbarheter: Unpatched plugins och tillägg dominera TechRepublic
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter