39% de todos os servidores de Counter-Strike 1.6 eram maliciosos e tentavam infectar jogadores

Pesquisadores de segurança descobriram uma rede de servidores multiplayer maliciosos do Counter-Strike 1.6 que exploravam vulnerabilidades de execução remota de código (RCE) em clientes de jogos dos usuários para infectá-los com uma nova variedade de malware chamada Belonard.

A rede foi fechada, disseram pesquisadores da empresa russa de antivírus Dr.Web, em um relatório publicado na segunda-feira.

Toda a operação dependia de servidores multiplayer de proxy que atraíam os usuários a se conectarem a eles por causa dos baixos valores de ping.

Quando os jogadores do CS1.6 se conectavam a esses servidores proxy, eles eram redirecionados para os mal-intencionados que usavam um dos quatro RCEs (dois no jogo oficial CS1.6 e dois em uma versão pirata) para executar código e plantar o malware Belonard em seus PCs.

Os computadores infectados com Belonard foram todos adicionados a uma estrutura semelhante a uma botnet.

BELONARD PROMOVERIA ANÚNCIOS E SERVIDORES CS1.6 POR UMA TAXA

Segundo o pesquisador de segurança do Dr. Web, Ivan Korolev, a pessoa por trás do botnet usaria o malware da Belonard para fazer modificações nos clientes CS1.6 dos usuários e exibir anúncios dentro dos jogos dos usuários.

“Quando um jogador começa o jogo, seu apelido muda para o endereço do site onde um cliente de jogo infectado pode ser baixado, enquanto o menu do jogo mostra um link para a comunidade VKontakte CS 1.6 com mais de 11.500 assinantes”, disse Korolev. .

Mas acima de tudo, o trojan era usado principalmente para promover servidores multiplayer CS1.6 legítimos, adicionando-os à lista de servidores disponíveis dos usuários, que o desenvolvedor da Belonard faria por uma taxa.

AS VÍTIMAS DE BELONARD TAMBÉM AJUDARIAM A INFECTAR OUTROS USUÁRIOS

Para se certificar de que o botnet Belonard cresceu e permaneceu ativo, o autor do malware também teve outra carta na manga.

De acordo com Korolev, o malware da Belonard também criaria servidores proxy em execução nos computadores dos usuários.

Esses servidores apareceriam na lista de servidores multiplayer CS1.6 principal, que outros usuários veriam e conectariam, achando que eram servidores legítimos.

No entanto, esses servidores proxy redirecionariam os jogadores para servidores mal-intencionados hospedando os quatro RCEs, infectando novos jogadores e aumentando o número de botnets da Belonard.

Belonard trojan modus operandi
Imagem: Dr.Web

De acordo com Korolev, a rede de servidores proxy da Belonard cresceu para atingir 1.951 servidores, o que representou 39% de todos os servidores multiplayer CS1.6 disponíveis na época.

O pesquisador da Dr.Web diz que eles trabalharam com o registrador de domínio REG.ru para derrubar todos os nomes de domínio que a equipe da Belonard estava usando para operar sua botnet.

Depois de assumir os domínios, Dr.Web disse que 127 clientes de jogos tentaram se conectar ao domínio sinkholed, mas o número de hosts infectados é provavelmente muito maior.

Como o desenvolvimento do Counter-Strike 1.6 parou há alguns anos, os usuários não devem esperar um patch para as falhas de execução remota de código exploradas por Belonard. Conectar a servidores vetados ou atualizar para uma nova versão do jogo Counter-Strike é recomendado.

Servidores maliciosos no CS 1.6
Imagem: Dr.Web

De acordo com Korolev, os usuários podem reconhecer os servidores proxy da Belonard devido a um bug em seu código que mostrava o tipo de jogo do servidor como “Counter-Strike 1”, “Counter-Strike 2” ou “” Counter-Strike 3 “em vez do padrão “Counter-Strike 1.6”