Servidores de Counter-Strike 1.6 son utilizados para infectar a los jugadores

Iniciado por AXCESS, Marzo 15, 2019, 01:06:07 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Al jugar un videojuego, la mayoría de las personas no se preocupan por infectarse con su cliente del juego. Sin embargo, una nueva investigación muestra que eso es exactamente lo que está sucediendo cuando el 39% de todos los servidores de juego Counter-Strike 1.6 existentes intentaban infectar a los jugadores a través de vulnerabilidades en el cliente del juego.

Si bien Counter-Strike 1.6 tiene casi 20 años, todavía hay una sólida base de jugadores y un mercado para los servidores de juegos. Con esta demanda, los proveedores de alojamiento alquilan servidores de juegos mensualmente y ofrecen otros servicios como la promoción del servidor de juegos de un cliente para aumentar su popularidad.

En un nuevo informe, de Dr. Web, los investigadores explican cómo un desarrollador está utilizando las vulnerabilidades de los clientes del juego, la red de bots Belonard Trojan y los servidores maliciosos para promocionar los servidores de juegos de sus clientes y reclutar más víctimas para la red de bots. En su apogeo, esta botnet creció tanto que aproximadamente el 39% de los 5,000 servidores Counter-Strike 1.6 eran de naturaleza maliciosa e intentaban infectar a los jugadores conectados.

"Usando este patrón, el desarrollador del troyano logró crear una red de bots que constituye una parte considerable de los servidores del juego CS 1.6", afirmó la investigación del Dr. Web. "Según nuestros analistas, de los 5,000 servidores disponibles del cliente oficial de Steam, el troyano Belonard creó 1.951. Esto es el 39% de todos los servidores del juego. Una red de esta escala permitió al desarrollador del troyano promocionar otros servidores por dinero, agregándolos a las listas de servidores disponibles en clientes de juegos infectados ".

El troyano de Belonard

Con el fin de promocionar los servidores de sus clientes, un desarrollador con un alias Belonard, creó servidores maliciosos que, al conectarse con un cliente de Counter-Strike 1.6, infectarían al jugador con el troyano Belonard.

Para hacer esto, la botnet Belonard utilizó clientes pre-infectados, o vulnerabilidades de ejecución remota de comandos en clientes limpios, lo que les permitió instalar el troyano, simplemente por un jugador que visitase un servidor malicioso. Como el cliente del juego Counter-Strike 1.6 ya no es compatible, todos los jugadores de este juego son víctimas potenciales de esta botnet.

"Permítanos abordar el proceso de infectar a un cliente con más detalle. Un jugador lanza el cliente oficial de Steam y selecciona un servidor de juegos. Al conectarse a un servidor malicioso, explota una vulnerabilidad de RCE, cargando una de las bibliotecas maliciosas al dispositivo de la víctima. Según el tipo de vulnerabilidad, una de las dos bibliotecas se descargará y ejecutará: client.dll (Trojan.Belonard.1) o Mssv24.asi (Trojan.Belonard.5) ".

A continuación, se muestra un flujo de ataque que demuestra cómo funciona Belonard:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Flujo de ataque

Cuando se instala, el troyano creará un servicio de Windows llamado "Servicio DHCP de Windows" y usará el valor ServiceDLL para cargar el troyano Belonard guardado en C: \ Windows \ System32 \ WinDHCP.dll.

El troyano reemplazará los archivos en el cliente del juego que no solo promocionan al sitio del atacante donde se pueden descargar los clientes infectados del juego, sino que también promueven servidores de juegos falsos. Si un jugador intenta unirse a uno de estos servidores, será redirigido a un servidor de juego malicioso que utiliza la vulnerabilidad RCE para infectar a la víctima con el troyano Belonard.

"Cuando un jugador comienza el juego, su nickname cambiará a la dirección del sitio web donde se puede descargar un cliente de juego infectado, mientras que el menú del juego mostrará un enlace a la comunidad VKontakte CS 1.6 con más de 11,500 suscriptores".

Cerrando la botnet

En coordinación con el registrador de nombres de dominio No tienes permitido ver los links. Registrarse o Entrar a mi cuenta, Dr. Web pudo cerrar los dominios que el troyano utilizaba para redirigir a los jugadores a servidores de juegos falsos. Esto ayudará a evitar que los nuevos jugadores se infecten.

Dr. Web también ha seguido supervisando otros dominios utilizados por el algoritmo de generación de dominios (DGA) del malware, pero hasta ahora los sumideros han podido prevenir nuevas infecciones.

Desafortunadamente, la única forma de evitar que esta botnet se vuelva a crear es parchear las vulnerabilidades en el cliente. Dado que Counter-Strike 1.6 fue el último cliente lanzado por Valve, no se espera una solución.

Fuente:
Bleepingcomputer.com
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta