Троян Belonard эксплуатирует уязвимости в Counter-Strike 1.6

Троян Belonard эксплуатирует уязвимости в Counter-Strike 1.6

18-10-2020 09:35:58

Знакомитесь Belonard


Аналитики компании «Доктор Веб» изучили малварь Trojan.Belonard (далее Belonard), которая проникает на компьютеры жертв через уязвимости клиента игры Counter-Strike 1.6. Исследователи отмечают, что несмотря на почтенный возраст игры, она по-прежнему имеет немало поклонников: количество игроков с официальными клиентами CS 1.6 в среднем достигает 20 000 человек, а общее число зарегистрированных в Steam игровых серверов превышает 5000.

При этом продажа, аренда и раскрутка серверов давно стали настоящим бизнесом. К примеру, поднятие сервера в рейтинге на неделю стоит примерно 200 рублей, и большое количество покупателей при сравнительно небольших расходах делают эту стратегию довольно успешной бизнес-моделью. Многие владельцы популярных серверов также зарабатывают за счет игроков, продавая различные привилегии: защиту от бана, доступ к оружию и многое другое. Но если одни держатели серверов рекламируются самостоятельно, то некоторые платят за раскрутку третьим лицам.

Покупая такую услугу, заказчики часто не знают, какие методы используются для продвижения их серверов. Как выяснили специалисты «Доктор Веб», разработчик под ником Belonard прибегал к нелегальным средствам раскрутки: его сервер заражал устройства игроков трояном и использовал их для продвижения других игровых серверов.

В качестве технического обеспечения своего бизнеса оператор вредоносного сервера использует уязвимости клиента игры и созданную им малварь. Задача трояна заключается в том, чтобы проникнуть на устройство игрока и скачать дополнительное вредоносное ПО, которое обеспечит автозапуск малвари в системе и ее распространение на устройства других игроков. Для этих задач используются RCE-уязвимости: две такие проблемы были найдены в официальном клиенте игры и еще четыре в пиратском.
Если клиент игры лицензионный, троян проникает на устройство пользователя через RCE-уязвимость, эксплуатируемую вредоносным сервером, после чего обеспечивает себе установку в системе. По такому же сценарию происходит заражение чистого пиратского клиента. Если же пользователь скачивает зараженный клиент с сайта владельца вредоносного сервера, установка трояна происходит после первого запуска игры. В результате на компьютер игрока будет загружена, а затем выполнена троянская библиотека client.dll (Trojan.Belonard.1) или файл Mssv24.asi (Trojan.Belonard.5). Автозапуск в официальном или пиратском клиенте происходит за счет особенности работы клиента Counter-Strike: при запуске игра автоматически загружает любые файлы с расширением .asi из корня игры.

Проникнув в систему Belonard меняет список доступных игровых серверов в клиенте игры, а также создает на зараженном компьютере игровые прокси-серверы для дальнейшего распространения малвари. Как правило, на прокси-серверах невысокий пинг, поэтому другие игроки видят их вверху списка серверов. Выбирая один из них, игрок попадает на вредоносный сервер и тоже заражается Belonard.
В итоге оператору трояна удалось создать настоящий ботнет, распространившийся на значительную часть игровых серверов CS 1.6. По данным аналитиков, из порядка 5000 серверов, доступных из официального клиента Steam, 1951 оказался создан трояном Belonard (то есть 39% всех игровых серверов). Сеть такого размера позволила разработчику малвари продвигать другие серверы за деньги.

Стоит сказать, что это не первый подобный случай. Еще в 2011 году эксперты «Доктор Веб» описывали похожую вредоносную кампанию против пользователей CS 1.6. Тогда троян тоже попадал на устройство игрока через вредоносный сервер, однако в том случае пользователь должен был подтвердить загрузку вредоносных файлов, а на этот раз малварь проникает в систему незаметно для жертвы.

Чсть прокси-серверов, созданных трояном, можно определить по названию: в графе «Game» будет строка вида «Counter-Strike n», где n может являться числом от 1 до 3

Исследователи уже уведомили об этих и других уязвимостях разработчика игры, компанию Valve. Ее представители сообщили о том, что они работают над этой проблемой, но на данный момент нет информации о сроках, в которые уязвимости будут устранены.

Для обезвреживания трояна и прекращения работы ботнета специалисты «Доктор Веб» приняли ряд мер. Сообщается, что при содействии регистратора REG.ru, используемые разработчиком малвари домены были сняты с делегирования. Поскольку перенаправление с игровых прокси-серверов происходило по доменному имени, игроки CS 1.6 больше не будут попадать на вредоносный сервер и заражаться трояном. Это также нарушило работу практически всех модулей малвари.

Кроме того, в вирусную базу компании были добавлены записи для детектирования всех компонентов трояна, а также ведется мониторинг ботов, переключившихся на использование DGA. После принятия всех мер по обезвреживанию ботнета синкхол-сервер зарегистрировал 127 зараженных клиентов. По данным телеметрии компании, антивирусом Dr.Web были обнаружены модули трояна Belonard на устройствах 1004 пользователей.

Исследователи резюмируют, что на данный момент ботнет можно считать обезвреженным, но для обеспечения безопасности клиентов Counter-Strike все же необходимо закрытие существующих уязвимостей со стороны разработчика игры.

Все технические подробности и индикаторы компрометации можно найти в отчете специалистов.


САМОЕ ОБСУЖДАЕМОЕ

...
Титан в воздухе
18-10-2020 09:35:58
Это не самолет – это Мрия!!!...
...
Лучшие бюджетные ноутбуки на 2020 год
18-10-2020 09:35:59
Как выбрать лучший ноутбук в 2020 году...
...
Технологические тенденции в 2020 году
18-10-2020 09:35:59
Технологи будущего уже сегодня...
...
Самостоятельная поездка автомобиля под управлением искусственного интеллекта
18-10-2020 09:35:58
Самый далекий перезд без водителя в истории искуственного интеллекта....
...
Ford Bronco наконец дебютирует 9 июля
18-10-2020 09:35:58
После задержек, связанных с коронавирусом, у долгожданной Бронко Форда официально объявлена ​​дата....
...
Tesla Semi готова к «массовому производству»
18-10-2020 09:35:58
Но генеральный директор не указал точные сроки начала производства электрического грузовика....
...
25 самых продаваемых легковых автомобилей, грузовиков и внедорожников 2020 года (пока)
18-10-2020 09:35:58
Хотя пандемия коронавируса привела к хаосу в продажах автомобилей, мы подсчитали рейтинг самых продаваемых в первом квартале....
...
Электрический Mustang
18-10-2020 09:35:58
Ford представляет электрический Mustang с «потрясающим» ускорением...
...
Cамые большие дизайнерские моменты 2018 года
18-10-2020 09:35:59
Мы попросили дизайнеров рассказать нам, что они считают самой важной вещью, которая произошла в отрасли в этом году....
...
Airtable
18-10-2020 09:35:59
Простая в использовании система управления реляционными базами данных...

НАШИ РЕКОМЕНДАЦИИ

Toyota Supra в 2021 году
Toyota Supra в 2021 году
Toyota Supra 2020 года не получит дооснащения, чтобы соответствовать увеличению мощности в 2021 году...
9 различных вариантов использования console log
9 различных вариантов использования console log
Каждый из нас использовал console.logдля отладки больше, чем нам хотелось бы признать....
Расслабление, снятие стресса и развитие сознания
Расслабление, снятие стресса и развитие сознания
Иногда в жизни бывают дни.......
Послушай других и сделай наооборот
Послушай других и сделай наооборот
Основатель Tesla и SpaceX воплотил в жизнь одну идею, противоречащую общепринятому мнению, и это помогло ему заработать миллиарды....
Красный флаг или работа не Вашей мечты.
Красный флаг или работа не Вашей мечты.
В последнее время развелось (были всегда) много организаций на рынке - которые надо обходить стороной....


ИНТЕРЕСНОЕ

Понимание карты и набора в JavaScript
Понимание карты и набора в JavaScript
Эта статья была изначально написана для DigitalOcean ....
Lazareth Wazuma от Феррари
Lazareth Wazuma от Феррари
Lazareth Wazuma V8F Quad – Engine By Ferrari...
20 самых важных секретов настоящих отношений
20 самых важных секретов настоящих отношений
Не простые отношения между женщинами и мужчинами...
Работа в Швеции
Работа в Швеции
Компании в Швеции переходят на 6-часовые рабочие дни и добиваются удивительных результатов...


ЛУЧШИЕ РЕЙТИНГИ

Набор массы
Набор массы
Базовые принципы для новичков
Ежедневные 15-минутные прогулки способны кардинально изменить ваше тело
Ежедневные 15-минутные прогулки способны кардинально изменить ваше тело
Всем известно, как положительно влияют на организм...
Правила для наращивания мышечной массы
Правила для наращивания мышечной массы
Зная интенсивность физических упражнений...
Раскачать грудь
Раскачать грудь
Обычно грудные растут хорошо у тех...

АКТУАЛЬНОЕ

Будущее уже с нами Galaxy Fold
CEO продвижение
Отношения с мужчинами
Раздевалка
Лишь плохие начальники ожидают от своих подчиненных постоянной занятости
Как научиться читать быстрее
Выбирай того, кто ежедневно пишет тебе «С добрым утром»
США скрывают правду о пришельцах
Свечение от ракеты SpaceX американцы приняли за НЛО
Путешествие из Австрии в Италию

ЧИТАЙТЕ ТАКЖЕ

18-10-2020 09:35:59 (120052)
Какую одежду носят манхэттенские модницы летом
Возможно эта новость тебе еще неизвестна
18-10-2020 09:35:59 (120050)
Время сгибаемых смартфонов еще не пришло
Эксперт по технологиям издания Mashable Стэн Шредер написал колонку...
18-10-2020 09:35:59 (120049)
Успешные стартапы, которые начинали как сторонние проекты
Apple, Facebook, Google, SpaceX ...
18-10-2020 09:35:59 (120051)
Надо стараться быть с теми, кто к нам хорошо относится
Маленький гимназист очень плохо учился...
18-10-2020 09:35:59 (120044)
Стопроцентная диета для похудения или питание наоборот
Сделай все наоборот....
18-10-2020 09:35:59 (120046)
Невероятная 12-месячная трансформацией тела
Звезда фитнеса из Сиднея Софи Аллен рассказывает о своей трансформации..