Menu dostępności

Jak hackerzy wykorzystują podatności w modach i cheatach do gier PC

Cisco Talos niedawno odkrył nową kampanię złośliwego oprogramowania skierowaną do graczy gier wideo oraz moderów gier na PC. Wykryto tam program szyfrujący używany w kilku różnych kampaniach złośliwego oprogramowania, ukryty w pozornie legalnych plikach, które użytkownicy zwykle pobierali w celu zainstalowania kodów do gier lub innych modyfikacji wizualnych (modów).

Program, nazwany roboczo „Kryptor” używa języka Visual Basic 6 wraz z kodem powłoki i technikami wstrzykiwania procesów. Dodatkowo wykorzystuje kilka technik zaciemniania, które utrudniają analizę i mogą stanowić wyzwanie dla analityków bezpieczeństwa, którzy nie są zaznajomieni z Visual Basic 6. Analiza od Cisco Talos zapewnia wgląd w taktykę przeciwnika i szczegółowo opisuje jak działa szyfrator.

Gracze grający w gry wideo mogą zdecydować się na pobranie pewnych kodów lub modyfikacji (zwanych też „modami”), aby zmienić sposób prezentacji niektórych gier lub urozmaicić samą grywalność. Cyberprzestępcy używają tego mechanizmu modyfikowania gier, do zmieniania systemu operacyjnego i dołączania ukrytego złośliwego oprogramowania. Cisco zauważyło kilka małych, niegroźnych narzędzi, które wyglądały jak zwykłe łatki do gier, ale zostały zainfekowane przez złośliwe oprogramowanie ukryte za pomocą tego właśnie narzędzia kryptograficznego.

Pracownicy działów bezpieczeństwa muszą być stale czujni i monitorować zachowanie systemów w swojej sieci, ponieważ pracownicy nadal działają zdalnie podczas pandemii i często łączą pracę z prywatnym użytkowaniem swoich komputerów. Przedsiębiorstwa są jeszcze bardziej narażone na ataki ze strony zhakowanych komputerów osobistych należących do ich pracowników. Pracownicy czasami pobierają narzędzia modyfikujące lub oszukujące silniki gier z wątpliwych źródeł, aby dostosować swój komputer lub gry działające na tej samej maszynie, której używają do pracy. To poważne zagrożenie dla sieci korporacyjnych.

Wiele z tych kampanii zaczyna się od reklam lub filmów instruktażowych w serwisie YouTube lub innych kanałach mediów społecznościowych związanych z modowaniem gier wideo. Poniższy zrzut ekranu przedstawia przykład jednego z nich.

Niestety, te narzędzia zapewniają nieco więcej niż obiecane poprawki i kody. Większość z nich doposażona jest w backdoor RAT. Ten powyżej instaluje na przykład XtremeRAT, trojana zdalnego dostępu i złodzieja informacji.

Opisana powyżej kampania wykorzystała narzędzie Viotto Binder z Breaking Security do połączenia dwóch plików, które zostały upuszczone do %AppData%/Local/Temp. Jeden nazywa się „Servidor.exe” i jest to próbka spakowana z szyfratorem VB6, który działa jako moduł ładujący XtremeRAT. Plik Servador.exe jest kopiowany do C:\Windows\SysWOW64\Windows\taskhost.exe. Drugi upuszczony plik to przynęta o nazwie „GameLoader.exe”, który jest małym programem .NET z GUI widocznym na powyższym obrazku.

W tym przypadku osoby atakujące wykorzystywały narzędzia do modyfikowania gier wideo, aby nakłonić użytkowników do wykonania dropperów złośliwego oprogramowania. To pokazuje, jak niebezpieczne jest instalowanie losowego oprogramowania z wątpliwych źródeł. Ponieważ tendencja do pracy w domu prawdopodobnie nie zakończy się w najbliższym czasie, stale wzrasta wykorzystanie prywatnego sprzętu komputerowego do łączenia się z sieciami firmowymi – jest to poważne zagrożenie dla sieci korporacyjnych. Ważne jest, aby firmy upewniły się, że ich pracownicy pobierają oprogramowanie wyłącznie z zaufanych źródeł i stosują odpowiednią higienę pracy z domu – pisaliśmy o tym tutaj.

Ze względu na ogromną ilość technik zaciemniania oraz łatwy i tani dostęp do programów szyfrujących, typowe zagrożenia, które widzimy obecnie, są bardziej wyrafinowane niż w przeszłości. Zagrożenie to wykorzystywało złożony program szyfrujący oparty na VisualBasic, aby ukryć swój ostateczny ładunek. Dropper wstrzykuje kod do nowego procesu, aby ukryć swój ostateczny ładunek przed prostymi narzędziami do ochrony przed złośliwym oprogramowaniem. Większość złośliwego oprogramowania stale ulepsza swoje techniki infekowania. Obecnie ważniejsze niż kiedykolwiek jest posiadanie wielowarstwowej architektury zabezpieczeń do wykrywania tego rodzaju ataków. Nie jest nieprawdopodobne, że cyberprzestępcom uda się ominąć jeden lub drugi środek bezpieczeństwa, ale znacznie trudniej jest im ominąć je wszystkie.

Poniżej zamieszczamy IOC opisywanego przypadku infekcji:

DOMENY: Dracula4000[.]duckdns[.]org Draculax[.]myq-see[.]com Macroso[.]ddns[.]net Win08[.]zapto[.]org

ADRESY IP: 45.163[.]152.127 51.79[.]47.48 51.161[.]76.196 141.255[.]147.114 177.18[.]137.16 179.253[.]227.97 185.185[.]197.247

Popularne

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

16 czerwca, czyli zaledwie pięć dni po rozpoczęciu Mistrzostw Świata 2026, badaczka cyberbezpieczeństwa działająca pod pseudonimem „BobDaHacker” opisała na swoim blogu lukę odkrytą w systemach FIFA. Według...
External MFA w Microsoft Entra ID – koniec Custom Controls

External MFA w Microsoft Entra ID – koniec Custom Controls

MFA, czyli uwierzytelnianie wieloskładnikowe, opiera się na prostej zasadzie: samo hasło nie wystarcza. Po wpisaniu loginu i hasła użytkownik musi jeszcze potwierdzić swoją tożsamość drugim składniki...
Ośmioletnia luka w Samsung KNOX. Miliony urządzeń Galaxy były narażone na ataki!

Ośmioletnia luka w Samsung KNOX. Miliony urządzeń Galaxy były narażone na ataki!

Badacze odkryli ośmioletnią lukę bezpieczeństwa, dotyczącą niemal wszystkich urządzeń Samsung od Galaxy S9 do S25. Została sklasyfikowana jako podatność o wysokim stopniu zagrożenia – CVSS 7.8. Luka...
USBLITER8. Niezałatana podatność, która podważa zaufanie do USB

USBLITER8. Niezałatana podatność, która podważa zaufanie do USB

Przez lata wydawało się, że bezpieczeństwo urządzeń USB jest tematem dobrze zrozumianym. Owszem, pojawiały się ataki wykorzystujące firmware, fałszywe klawiatury czy modyfikowane pendrive'y, ale więks...
Krytyczna luka w Oracle E-Business Suite już wykorzystywana przez cyberprzestępców. Zagrożone systemy finansowe przedsiębiorstw!

Krytyczna luka w Oracle E-Business Suite już wykorzystywana przez cyberprzestępców. Zagrożone systemy finansowe przedsiębiorstw!

Administratorzy korzystający z Oracle E-Business Suite powinni jak najszybciej zweryfikować stan swoich systemów. Eksperci ds. cyberbezpieczeństwa potwierdzili bowiem aktywne wykorzystywanie krytycznej pod...