Los servidores Malicioso de Counter-Strike 1.6 utilizaron días cero para infectar a los usuarios con malware

[Band -.-]

Los investigadores de seguridad descubrieron una red de servidores multijugador Counter-Strike 1.6 maliciosos que explotaban las vulnerabilidades de ejecución remota de código (RCE) en los clientes de juegos de los usuarios para infectarlos con una nueva variedad de malware llamada Belonard.

La red ha sido cerrada, dijeron investigadores de la firma antivirus rusa Dr.Web en un informe publicado el lunes.

Toda la operación se basó en servidores proxy multijugador que animaban a los usuarios a conectarse a ellos debido a los bajos valores de ping.

Cuando los jugadores CS1.6 se conectaran a estos servidores proxy, serían redirigidos a los maliciosos que usaban uno de los cuatro RCE (dos en el juego oficial CS1.6 y dos en una versión pirateada) para ejecutar el código y plantar el malware Belonard en sus PCs.

Las computadoras infectadas con Belonard se agregaron todas a una estructura similar a una red de bots.

 

Belonard promocionaría anuncios y servidores CS1.6 por una tarifa

Según el investigador de seguridad del Dr. Web Ivan Korolev, la persona detrás de la botnet usaría el malware Belonard para realizar modificaciones en los clientes CS1.6 de los usuarios y mostrar anuncios dentro de los juegos de los usuarios.

"Cuando un jugador comienza el juego, su apodo cambiará a la dirección del sitio web donde se puede descargar un cliente de juego infectado, mientras que el menú del juego mostrará un enlace a la comunidad VKontakte CS 1.6 con más de 11,500 suscriptores", dijo Korolev. .

Pero sobre todo, el troyano se usó principalmente para promover servidores legítimos de múltiples jugadores CS1.6 al agregarlos a la lista de servidores disponibles de los usuarios, que el desarrollador de Belonard haría por una tarifa.

Las víctimas de Belonard también ayudarían a infectar a otros usuarios.

Para asegurarse de que la botnet Belonard creció y se mantuvo activa, el autor del malware también tuvo otro truco bajo la manga.

Según Korolev, el malware Belonard también crearía servidores proxy que se ejecutan en las computadoras de los usuarios.

Luego, estos servidores aparecerían en la lista principal de servidores de varios jugadores CS1.6, que otros usuarios verían y conectarán, pensando que eran servidores legítimos.

Sin embargo, estos servidores proxy redirigen a los jugadores a servidores maliciosos que alojan los cuatro RCE, infectan a los nuevos jugadores y aumentan las filas de la botnet Belonard.

Según Korolev, la red de servidores proxy Belonard creció hasta alcanzar 1,951 servidores, lo que representó el 39 por ciento de todos los servidores multijugador CS1.6 disponibles en ese momento.

El investigador de Dr.Web dice que trabajaron con el registrador de dominios REG.ru para eliminar todos los nombres de dominio que el equipo de Belonard estaba usando para operar su botnet.

Después de hacerse cargo de los dominios, Dr.Web dijo que 127 clientes de juegos intentaron conectarse al dominio hundido, pero la cantidad de hosts infectados es probablemente mucho mayor.

Korolev le dijo a ZDNet que notificó a Valve, el fabricante de CS1.6, acerca de los dos días cero. La compañía prometió un parche, pero se negó a decir cuándo.

Según Korolev, los usuarios pueden reconocer los servidores proxy de Belonard debido a un error en su código que mostraba el tipo de juego del servidor como "Counter-Strike 1", "Counter-Strike 2" o "" Counter-Strike 3 "en lugar del estándar "Counter Strike 1.6."

Imagen: Dr.Web

Este post fue traducido a español, el post original en ingles aqui.