Si usted es un jugador de Counter-Strike, tenga cuidado, ya que el 39% de todos los servidores de juego de Counter-Strike 1.6 disponibles en línea son maliciosos que se han configurado para hackear remotamente las computadoras de los jugadores.
Un equipo de investigadores de ciberseguridad en el Dr. Web ha revelado que un atacante ha estado utilizando servidores de juegos maliciosos para comprometer silenciosamente las computadoras de los jugadores de Counter-Strike en todo el mundo al explotar vulnerabilidades de día cero en el cliente del juego.
Según los investigadores, Counter-Strike 1.6, un juego popular que tiene casi dos décadas de antigüedad, contiene vulnerabilidades de ejecución remota de código (RCE) sin parchar en su software cliente lo que permite a los atacantes ejecutar código arbitrario en la computadora del jugador tan pronto como se conectan a un Servidor malicioso, sin requerir ninguna interacción adicional de los jugadores.
Resultó que un desarrollador ruso de servidores de juegos, apodado 'Belonard', ha estado explotando estas vulnerabilidades, para promover su negocio y crear una red de bots de sistemas de jugadores comprometidos al infectarlos con un troyano personalizado.
Apodado Belonard, el troyano que lleva el nombre de su desarrollador ha sido diseñado para ganar persistencia, reemplazar la lista de servidores de juego disponibles en el cliente de juego vulnerable instalado en los sistemas infectados y crear proxies para expandir aún más el troyano.
infección de un cliente
Trojan.Belonard consta de 11 componentes y opera en diferentes escenarios, dependiendo del cliente del juego. Si se usa el cliente oficial, el troyano infecta el dispositivo utilizando una vulnerabilidad de RCE, explotada por el servidor malicioso, y luego se establece en el sistema. Si un usuario descarga un cliente infectado desde el sitio web del propietario del servidor malicioso, se garantiza la persistencia del troyano en el sistema después del primer lanzamiento del juego.
Una vez en el dispositivo de la víctima, Trojan.Belonard.1 elimina cualquier archivo .dat que se encuentre en el mismo directorio con el archivo de proceso de la biblioteca. Después de eso, la biblioteca maliciosa se conecta al servidor de comando y control, fuztxhus.valve-ms [.] Ru: 28445, y le envía una solicitud cifrada para descargar el archivo Mp3enc.asi (Trojan.Belonard.2). El servidor luego envía el archivo cifrado en respuesta.
Esta es una captura de pantalla de un paquete de datos descifrados del servidor:
Instalación en el cliente
El cliente descargado del sitio web del desarrollador del troyano ya está infectado con Trojan.Belonard.10 (el nombre del archivo es Mssv36.asi), pero el troyano se instala en el sistema de manera diferente a las versiones limpias de los clientes del juego. Después de la instalación de un cliente infectado, Trojan.Belonard.10 busca uno de sus componentes en el sistema operativo del usuario. Si no hay ninguno, suelta el componente de su cuerpo y descarga Trojan.Belonard.5 (el nombre del archivo es Mssv24.asi) en su memoria de proceso. Al igual que muchos otros módulos, Trojan.Belonard.10 cambia la fecha y la hora de creación, modificación o acceso al archivo, para que no se puedan encontrar los archivos del troyano ordenando el contenido de la carpeta por fecha de creación.
Después de instalar un nuevo componente, Trojan.Belonard.10 permanece en el sistema y actúa como un protector del cliente. Filtra solicitudes, archivos y comandos recibidos de otros servidores de juegos y transfiere datos sobre intentos de cambios al cliente al servidor del desarrollador del troyano.
Trojan.Belonard.5 recibe información sobre el proceso en ejecución y las rutas al módulo en DllMain. Si el nombre del proceso no es rundll32.exe, se inicia un subproceso independiente para acciones posteriores. En el hilo en ejecución, Trojan.Belonard.5 crea la clave [HKCU \\ SOFTWARE \\ Microsoft \\ Windows NT \\ CurrentVersion \\ AppCompatFlags \\ Layers] '<ruta al proceso de archivo ejecutable>', le asigna el valor “RUNASADMIN”, y verifica el nombre del módulo. Si no es "Mssv24.asi", se copia a sí mismo en el módulo "Mssv24.asi", borra la versión con un nombre diferente e inicia Trojan.Belonard.3 (el nombre del archivo es Mssv16.asi). Si el nombre coincide, descarga e inicia inmediatamente el troyano.
La inserción en un cliente limpio se realiza mediante Trojan.Belonard.2. Después de la descarga, comprueba en DllMain el nombre del proceso en el que se carga client.dll (Trojan.Belonard.1). Si no es rundll32.exe, crea un subproceso con la clave [HKCU \\ SOFTWARE \\ Microsoft \\ Windows NT \\ CurrentVersion \\ AppCompatFlags \\ Layers] '<ruta al proceso de archivo ejecutable>', y asignaciones Es el valor "RUNASADMIN". Después de eso, recopila datos sobre el dispositivo del usuario y extrae información del archivo DialogGamePage.res. Luego, envía los datos recopilados al servidor del desarrollador de troyanos en un formato cifrado.
Los investigadores ya han informado sobre las vulnerabilidades a Valve Corporation, desarrollador del juego Counter-Strike 1.6.
Además, los investigadores del Dr. Web también informaron los nombres de dominio maliciosos utilizados por el desarrollador de malware al registrador web ruso, que luego suspende múltiples dominios en un intento de eliminar la red de bots.
Sin embargo, eliminar algunos dominios no impediría a los atacantes configurar más servidores maliciosos a menos que los desarrolladores de Counter-Strike parcheen las vulnerabilidades de ejecución remota de código en su software de juegos.
Fuente: DrWeb.
