Menu dostępności

Jak hackerzy wykorzystują podatności w modach i cheatach do gier PC

Cisco Talos niedawno odkrył nową kampanię złośliwego oprogramowania skierowaną do graczy gier wideo oraz moderów gier na PC. Wykryto tam program szyfrujący używany w kilku różnych kampaniach złośliwego oprogramowania, ukryty w pozornie legalnych plikach, które użytkownicy zwykle pobierali w celu zainstalowania kodów do gier lub innych modyfikacji wizualnych (modów).

Program, nazwany roboczo „Kryptor” używa języka Visual Basic 6 wraz z kodem powłoki i technikami wstrzykiwania procesów. Dodatkowo wykorzystuje kilka technik zaciemniania, które utrudniają analizę i mogą stanowić wyzwanie dla analityków bezpieczeństwa, którzy nie są zaznajomieni z Visual Basic 6. Analiza od Cisco Talos zapewnia wgląd w taktykę przeciwnika i szczegółowo opisuje jak działa szyfrator.

Gracze grający w gry wideo mogą zdecydować się na pobranie pewnych kodów lub modyfikacji (zwanych też „modami”), aby zmienić sposób prezentacji niektórych gier lub urozmaicić samą grywalność. Cyberprzestępcy używają tego mechanizmu modyfikowania gier, do zmieniania systemu operacyjnego i dołączania ukrytego złośliwego oprogramowania. Cisco zauważyło kilka małych, niegroźnych narzędzi, które wyglądały jak zwykłe łatki do gier, ale zostały zainfekowane przez złośliwe oprogramowanie ukryte za pomocą tego właśnie narzędzia kryptograficznego.

Pracownicy działów bezpieczeństwa muszą być stale czujni i monitorować zachowanie systemów w swojej sieci, ponieważ pracownicy nadal działają zdalnie podczas pandemii i często łączą pracę z prywatnym użytkowaniem swoich komputerów. Przedsiębiorstwa są jeszcze bardziej narażone na ataki ze strony zhakowanych komputerów osobistych należących do ich pracowników. Pracownicy czasami pobierają narzędzia modyfikujące lub oszukujące silniki gier z wątpliwych źródeł, aby dostosować swój komputer lub gry działające na tej samej maszynie, której używają do pracy. To poważne zagrożenie dla sieci korporacyjnych.

Wiele z tych kampanii zaczyna się od reklam lub filmów instruktażowych w serwisie YouTube lub innych kanałach mediów społecznościowych związanych z modowaniem gier wideo. Poniższy zrzut ekranu przedstawia przykład jednego z nich.

Niestety, te narzędzia zapewniają nieco więcej niż obiecane poprawki i kody. Większość z nich doposażona jest w backdoor RAT. Ten powyżej instaluje na przykład XtremeRAT, trojana zdalnego dostępu i złodzieja informacji.

Opisana powyżej kampania wykorzystała narzędzie Viotto Binder z Breaking Security do połączenia dwóch plików, które zostały upuszczone do %AppData%/Local/Temp. Jeden nazywa się „Servidor.exe” i jest to próbka spakowana z szyfratorem VB6, który działa jako moduł ładujący XtremeRAT. Plik Servador.exe jest kopiowany do C:\Windows\SysWOW64\Windows\taskhost.exe. Drugi upuszczony plik to przynęta o nazwie „GameLoader.exe”, który jest małym programem .NET z GUI widocznym na powyższym obrazku.

W tym przypadku osoby atakujące wykorzystywały narzędzia do modyfikowania gier wideo, aby nakłonić użytkowników do wykonania dropperów złośliwego oprogramowania. To pokazuje, jak niebezpieczne jest instalowanie losowego oprogramowania z wątpliwych źródeł. Ponieważ tendencja do pracy w domu prawdopodobnie nie zakończy się w najbliższym czasie, stale wzrasta wykorzystanie prywatnego sprzętu komputerowego do łączenia się z sieciami firmowymi – jest to poważne zagrożenie dla sieci korporacyjnych. Ważne jest, aby firmy upewniły się, że ich pracownicy pobierają oprogramowanie wyłącznie z zaufanych źródeł i stosują odpowiednią higienę pracy z domu – pisaliśmy o tym tutaj.

Ze względu na ogromną ilość technik zaciemniania oraz łatwy i tani dostęp do programów szyfrujących, typowe zagrożenia, które widzimy obecnie, są bardziej wyrafinowane niż w przeszłości. Zagrożenie to wykorzystywało złożony program szyfrujący oparty na VisualBasic, aby ukryć swój ostateczny ładunek. Dropper wstrzykuje kod do nowego procesu, aby ukryć swój ostateczny ładunek przed prostymi narzędziami do ochrony przed złośliwym oprogramowaniem. Większość złośliwego oprogramowania stale ulepsza swoje techniki infekowania. Obecnie ważniejsze niż kiedykolwiek jest posiadanie wielowarstwowej architektury zabezpieczeń do wykrywania tego rodzaju ataków. Nie jest nieprawdopodobne, że cyberprzestępcom uda się ominąć jeden lub drugi środek bezpieczeństwa, ale znacznie trudniej jest im ominąć je wszystkie.

Poniżej zamieszczamy IOC opisywanego przypadku infekcji:

DOMENY: Dracula4000[.]duckdns[.]org Draculax[.]myq-see[.]com Macroso[.]ddns[.]net Win08[.]zapto[.]org

ADRESY IP: 45.163[.]152.127 51.79[.]47.48 51.161[.]76.196 141.255[.]147.114 177.18[.]137.16 179.253[.]227.97 185.185[.]197.247

Popularne

Koniec ery VPN? Jak sztuczna inteligencja zmienia krajobraz cyberzagrożeń i przyspiesza przejście do Zero Trust

Koniec ery VPN? Jak sztuczna inteligencja zmienia krajobraz cyberzagrożeń i przyspiesza przejście do Zero Trust

Przez ponad dwie dekady sieci VPN (Virtual Private Network) stanowiły podstawowy mechanizm zapewniający bezpieczny dostęp zdalny do zasobów przedsiębiorstw. W czasach, gdy większość pracowników wykonywa...
Accenture potwierdza wyciek danych

Accenture potwierdza wyciek danych

Accenture, obecny również w Polsce gigant usług profesjonalnych, potwierdziło naruszenie bezpieczeństwa danych po tym, jak haker przyznał się do kradzieży kodu źródłowego firmy. Accenture to przedsi...
FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

16 czerwca, czyli zaledwie pięć dni po rozpoczęciu Mistrzostw Świata 2026, badaczka cyberbezpieczeństwa działająca pod pseudonimem „BobDaHacker” opisała na swoim blogu lukę odkrytą w systemach FIFA. Według...
Masowa kampania password spray wymierzona w Azure CLI

Masowa kampania password spray wymierzona w Azure CLI

Cyberprzestępcy prowadzą zakrojoną na szeroką skalę kampanię password spray, wymierzoną w środowiska Microsoft 365 za pośrednictwem Azure CLI, o czym informuje Huntress – firma zajmująca się cyberbezpiec...
Nowy exploit zero-day dla Windows. Microsoft znów pod presją

Nowy exploit zero-day dla Windows. Microsoft znów pod presją

Środowisko bezpieczeństwa IT ponownie żyje informacjami o ujawnieniu exploita typu zero-day dla systemów Microsoft Windows. Tym razem badacz bezpieczeństwa znany pod pseudonimem Chaotic Eclipse opub...