Аналитики компании «Доктор Веб» изучили троян Belonard, атаковавший игроков Counter-Strike 1.6. Для проникновения на устройства жертв зловред использует RCE-уязвимости нулевого дня в клиенте игры. После закрепления в системе Belonard подменяет в программе список доступных игровых серверов на те, за продвижение которых заплатили его автору, а также создает прокси-серверы, через которые распространяется дальше.

Заражение происходит при подключении к серверу, принадлежащему автору зловреда. Процесс различается в зависимости от того, какой клиент установлен на компьютере жертвы. Если программа «чистая», троян задействует одну из RCE-уязвимостей, которых в официальном клиенте как минимум две, а в пиратском — по меньшей мере четыре. В этом случае на компьютер жертвы загружается библиотека client.dll или один из файлов — Mssv24.asi или FileSystem.asi. Последний используется только в пиратских копиях клиента.

Если жертва скачала игру с сайта автора трояна, то в ней уже содержится компонент зловреда Mssv36.asi, который запускается вместе с клиентом. Всего Belonard состоит из 11 модулей. Большинство из них отвечает за закрепление в системе и загрузку своих собратьев.

После успешной атаки на клиент, через который жертва подключилась к вредоносному серверу, зловред находит и заражает другие установленные на компьютере копии игры, а также создает на устройстве прокси-серверы. Благодаря низкому пингу они оказываются в самом верху списка серверов у еще не зараженных игроков. Если новая жертва попытается подключиться к прокси-серверу, тот перенаправит ее на вредоносный сервер.

По данным «Доктора Веба», из 5 тыс. игровых серверов Counter-Strike 1.6 1951 создан трояном Belonard, а количество пострадавших пользователей — более тысячи. Благодаря бот-сети такого размера автор зловреда успешно продает услуги по раскрутке реальных игровых серверов: с этой целью Belonard подменяет список доступных ресурсов в зараженных клиентах. При этом заказчики зачастую даже не подозревают, какими методами осуществляется раскрутка их серверов.

ИБ-эксперты совместно с регистратором REG.ru сняли с делегирования домены, принадлежащие злоумышленнику. Это позволило остановить цепочку заражений и обезвредить огромный ботнет. Однако пока уязвимости не закрыты, говорить о безопасности игроков рано. Специалисты проинформировали разработчика игры Valve об этих и других багах, но дата выхода патчей пока не известна.

Преступники нередко используют популярность онлайн-игр в собственных целях. Так, злоумышленники заразили бэкдором компьютеры десятков тысяч пользователей в Таиланде, Тайване и на Филиппинах через цепочку поставок. Зловред был замаскирован под файлы видеоигр.

Категории: Вредоносные программы, Мошенничество