Jak hackerzy wykorzystują podatności w modach i cheatach do gier PC

Niestety, te narzędzia zapewniają nieco więcej niż obiecane poprawki i kody. Większość z nich doposażona jest w backdoor RAT. Ten powyżej instaluje na przykład XtremeRAT, trojana zdalnego dostępu i złodzieja informacji.

Opisana powyżej kampania wykorzystała narzędzie Viotto Binder z Breaking Security do połączenia dwóch plików, które zostały upuszczone do %AppData%/Local/Temp. Jeden nazywa się „Servidor.exe” i jest to próbka spakowana z szyfratorem VB6, który działa jako moduł ładujący XtremeRAT. Plik Servador.exe jest kopiowany do C:\Windows\SysWOW64\Windows\taskhost.exe. Drugi upuszczony plik to przynęta o nazwie „GameLoader.exe”, który jest małym programem .NET z GUI widocznym na powyższym obrazku.

W tym przypadku osoby atakujące wykorzystywały narzędzia do modyfikowania gier wideo, aby nakłonić użytkowników do wykonania dropperów złośliwego oprogramowania. To pokazuje, jak niebezpieczne jest instalowanie losowego oprogramowania z wątpliwych źródeł. Ponieważ tendencja do pracy w domu prawdopodobnie nie zakończy się w najbliższym czasie, stale wzrasta wykorzystanie prywatnego sprzętu komputerowego do łączenia się z sieciami firmowymi – jest to poważne zagrożenie dla sieci korporacyjnych. Ważne jest, aby firmy upewniły się, że ich pracownicy pobierają oprogramowanie wyłącznie z zaufanych źródeł i stosują odpowiednią higienę pracy z domu – pisaliśmy o tym tutaj.

Ze względu na ogromną ilość technik zaciemniania oraz łatwy i tani dostęp do programów szyfrujących, typowe zagrożenia, które widzimy obecnie, są bardziej wyrafinowane niż w przeszłości. Zagrożenie to wykorzystywało złożony program szyfrujący oparty na VisualBasic, aby ukryć swój ostateczny ładunek. Dropper wstrzykuje kod do nowego procesu, aby ukryć swój ostateczny ładunek przed prostymi narzędziami do ochrony przed złośliwym oprogramowaniem. Większość złośliwego oprogramowania stale ulepsza swoje techniki infekowania. Obecnie ważniejsze niż kiedykolwiek jest posiadanie wielowarstwowej architektury zabezpieczeń do wykrywania tego rodzaju ataków. Nie jest nieprawdopodobne, że cyberprzestępcom uda się ominąć jeden lub drugi środek bezpieczeństwa, ale znacznie trudniej jest im ominąć je wszystkie.

Poniżej zamieszczamy IOC opisywanego przypadku infekcji:

DOMENY: Dracula4000[.]duckdns[.]org Draculax[.]myq-see[.]com Macroso[.]ddns[.]net Win08[.]zapto[.]org

ADRESY IP: 45.163[.]152.127 51.79[.]47.48 51.161[.]76.196 141.255[.]147.114 177.18[.]137.16 179.253[.]227.97 185.185[.]197.247