Недобросовестные игроки многопользовательского шутера Fortnite оказались под атакой вредоносного ПО. Обнаруженный троян маскировался под программную надстройку, призванную улучшить точность стрельбы и повысить приток внутренней валюты.

О находке сообщили представители Rainway — платформы для удаленного доступа к играм с любого устройства. Как рассказал в корпоративном блоге генеральный директор компании Эндрю Сэмпсон (Andrew Sampson), 26 июня резко выросло количество сообщений об ошибках пользовательского клиента.

«Мы быстро поняли, что причиной были не наши действия, а сторонняя активность, — поясняет Сэмпсон. — [В логах мы увидели] запросы к различным рекламным платформам. Поскольку Rainway не размещает у себя рекламу, это стало для нас тревожным звонком».

В целях безопасности разработчики платформы разрешают клиенту обращаться только к URL из «белого» списка. Именно попытки сторонних JavaScript-программ соединиться с некими рекламными ресурсами и провоцировали сообщения об ошибках.

Особую тревогу вызывал масштаб проблемы — система зафиксировала более 381 тыс. инцидентов. По словам Сэмпсона, инженеры Rainway не сразу установили источник проблемы: «Компьютеры работали на разном аппаратном обеспечении, подключались к Интернету через разных провайдеров, на машинах стояли актуальные версии ОС. Только один фактор привлек наше внимание — все [пораженные] пользователи играли в Fortnite».

Это натолкнуло специалистов компании на мысль, что причина в стороннем ПО, которое геймеры используют для жульничества. Продвигаются такие программные надстройки через YouTube, где можно найти десятки видеоинструкций по нечестному заработку внутренней валюты Fornite и повышению игровых показателей.

Чтобы определить, какой троян использовался в произошедшей атаке, сотрудники платформы скачали сотни читерских программ, каждая из которых представляла ту или иную угрозу для пользователей. Когда поиски наконец увенчались успехом и программисты протестировали вредонос на виртуальной машине, выяснилось, что это ПО направлено на проведение MitM-атак.

«[Троян] мгновенно установил свой корневой сертификат и изменил сетевые настройки таким образом, чтобы весь интернет-трафик шел через него, — рассказал Сэмпсон. — После этого зловред стал добавлять на веб-страницы теги, связанные с [рекламной платформой] Adtelligent».

К настоящему моменту вредоносный аддон уже недоступен для скачивания, однако, по данным Rainway, его успели установить более 78 тыс. пользователей. Представители Adtelligent не отреагировали на сообщение о зловредной активности. Со своей стороны представители Rainway оповестили клиентов об атаке и включили функцию прикрепления доверенных сертификатов (certificate pinning). Она позволяет бороться с MitM-атаками, запрещая соединение с любыми хостами вне разрешенного списка.

Ранее в июне поклонники Fortnite уже оказались под угрозой, когда злоумышленники пытались распространять вредоносные приложения под видом Android-версии шутера. Для этого преступники также использовали видеоинструкции на YouTube.

В октябре 2017 года эксперты обнаружили скрытый майнер криптовалюты Monero в дополнении GTA V. Создатели мода, под видом которого распространялся троян, обещали игрокам улучшить графику в игре.

Категории: Вредоносные программы, Мошенничество