Ερευνητές ασφαλείας ανακάλυψαν τέσσερα κακόβουλα game mods για το πολύ δημοφιλές διαδικτυακό παιχνίδι μάχης Dota 2, που χρησιμοποιήθηκαν από έναν παράγοντα απειλών για να παρακάμψουν τα συστήματα gamers.
Το Dota 2 είναι ένα παιχνίδι MOBA που κυκλοφόρησε αρχικά στις 9 Ιουλίου 2013. Παρά το γεγονός ότι είναι σχεδόν 10 ετών (ή ίσως 20 αν μετρήσουμε το αρχικό Dota 1), εξακολουθεί να προσελκύει μια μεγάλη βάση παικτών με περίπου 15 εκατομμύρια ενεργούς μηνιαίους παίκτες.
Ο επιτιθέμενος δημιούργησε τέσσερα game mods για το Dota 2 και τα δημοσίευσε στο Steam store για να στοχεύσει τους θαυμαστές του παιχνιδιού, σύμφωνα με ερευνητές του Avast Threat Labs.
“Αυτά τα mods ονομάζονταν Overdog no annoying heroes (id 2776998052), Custom Hero Brawl (id 2780728794) και Overthrow RTZ Edition X10 XP (id 2780559339)“, δήλωσε ο ερευνητής της Avast, Jan Vojtěšek.
Δείτε επίσης: Weee! παραβίαση δεδομένων: Εκτέθηκαν στοιχεία πελατών
Υπήρχε, επίσης, ένα νέο αρχείο με το όνομα evil.lua που χρησιμοποιήθηκε για τον έλεγχο των δυνατοτήτων εκτέλεσης server-side Lua. Αυτό το κακόβουλο snippet θα μπορούσε να χρησιμοποιηθεί για την καταγραφή, την εκτέλεση εντολών συστήματος, τη δημιουργία coroutines και την υποβολή HTTP GET requests.
Σύμφωνα με το Bleeping Computer, ο εντοπισμός του bundled backdoor στο πρώτο game mod για το Dota 2 που δημοσιεύτηκε στο Steam Store, ήταν εύκολος, αλλά οι είκοσι γραμμές κακόβουλου κώδικα που περιλαμβάνονταν στα τρία νεότερα mods ήταν πολύ πιο δύσκολο να εντοπιστούν.
Το backdoor επέτρεψε στον παράγοντα απειλής να εκτελεί εξ αποστάσεως εντολές στις μολυσμένες συσκευές των gamers, επιτρέποντας ενδεχομένως την εγκατάσταση περαιτέρω κακόβουλου λογισμικού στη συσκευή.
”Αυτό το backdoor επιτρέπει την εκτέλεση οποιουδήποτε JavaScript που αποκτήθηκε μέσω HTTP, παρέχοντας στον εισβολέα τη δυνατότητα να κρύψει και να τροποποιήσει το exploit code κατά την κρίση του χωρίς να υποβληθεί στη διαδικασία επαλήθευσης του game mod, η οποία μπορεί να είναι επικίνδυνη“, είπε ο Vojtěšek.
Δείτε επίσης: SonicWall: Προειδοποιεί για «σπασμένο» WCF των Windows 11 22H2
Στα παραβιασμένα συστήματα των παικτών, το backdoor χρησιμοποιήθηκε επίσης για τη λήψη ενός Chrome exploit που είναι γνωστό ότι χρησιμοποιείται από εγκληματίες του κυβερνοχώρου.
Η στοχευμένη ευπάθεια είναι η CVE-2021-38003, ένα σοβαρό σφάλμα στο V8 JavaScript and WebAssembly engine της Google που διορθώθηκε τον Οκτώβριο του 2021.
“Δεδομένου ότι το V8 δεν ήταν sandbox στο Dota, το exploit από μόνο του επέτρεψε την απομακρυσμένη εκτέλεση κώδικα έναντι άλλων παικτών Dota“, πρόσθεσε ο Vojtěšek.
Το JavaScript exploit για το CVE-2021-38003 εισήχθη σε ένα νόμιμο αρχείο που πρόσθεσε scoreboard functionality στο παιχνίδι, πιθανόν για να κάνει πιο δύσκολο τον εντοπισμό του.
Δείτε επίσης: Η ομάδα hacking Nodaria στοχεύει την Ουκρανία με το Graphiron
Η Avast ανέφερε τα ευρήματά της στη Valve, τον developer του Dota 2, και αυτή με τη σειρά της ενημέρωσε την ευάλωτη έκδοση V8 στις 12 Ιανουαρίου 2023. Πριν από αυτό, το Dota 2 χρησιμοποιούσε μια έκδοση v8.dll από τον Δεκέμβριο του 2018. Η Valve κατέβασε επίσης τα κακόβουλα game mods για το Dota 2 και ειδοποίησε όλους τους gamers που επηρεάστηκαν από την επίθεση.
O Vojtěšek είπε ότι σύμφωνα με τη Valve, επηρεάστηκαν κάτω από 200 παίκτες.
Πηγή: www.bleepingcomputer.com