Investigadores de seguridad han descubierto una red de servidores multijugador maliciosos de Counter-Strike 1.6 que explotaban las vulnerabilidades de ejecución remota de código (RCE) en los clientes de juegos de los usuarios para infectarlos con una nueva cepa de malware llamada Belonard.
La red ha sido cerrada, dijeron investigadores de la firma rusa de antivirus Dr.Web en un informe publicado el lunes.
Toda la operación se basó en servidores proxy multijugador que atraían a los usuarios a conectarse a ellos debido a los bajos valores de ping.
Cuando los jugadores de CS1.6 se conectaban a estos servidores proxy, eran redirigidos a servidores maliciosos que utilizaban uno de los cuatro RCE (dos en el juego oficial de CS1.6 y dos en una versión pirateada) para ejecutar código y colocar el malware Belonard en sus PC.
Todas las computadoras infectadas con Belonard se agregaron a una estructura similar a una botnet.
Belonard promocionaría anuncios y servidores CS1.6 por una tarifa
Según el investigador de seguridad Dr. Web Ivan Korolev, la persona detrás de la botnet usaría el malware Belonard para realizar modificaciones en los clientes CS1.6 de los usuarios y mostrar anuncios dentro de los juegos de los usuarios.
“Cuando un jugador inicia el juego, su apodo cambiará a la dirección del sitio web donde se puede descargar un cliente de juego infectado, mientras que el menú del juego mostrará un enlace a la comunidad VKontakte CS 1.6 con más de 11.500 suscriptores”, dijo Korolev. .
Pero, sobre todo, el troyano se utilizó principalmente para promocionar servidores multijugador CS1.6 legítimos, agregándolos a la lista de servidores disponibles de los usuarios, lo que el desarrollador de Belonard hacía por una tarifa.
Las víctimas de Belonard también ayudarían a infectar a otros usuarios
Para asegurarse de que la botnet Belonard creciera y permaneciera activa, el autor del malware también tenía otro truco bajo la manga.
Según Korolev, el malware Belonard también crearía servidores proxy que se ejecutarían en las computadoras de los usuarios.
Estos servidores luego aparecerían en la lista principal de servidores multijugador de CS1.6, que otros usuarios verían y conectarían, pensando que eran servidores legítimos.
Sin embargo, estos servidores proxy redirigirían a los jugadores a servidores maliciosos que alojan los cuatro RCE, infectando a nuevos jugadores y aumentando las filas de la botnet Belonard.
Imagen: Dr.Web
Según Korolev, la red Belonard de servidores proxy creció hasta alcanzar 1.951 servidores, lo que representaba el 39 por ciento de todos los servidores multijugador CS1.6 disponibles en ese momento.
El investigador de Dr.Web dice que trabajaron con el registrador de dominios REG.ru para eliminar todos los nombres de dominio que el equipo de Belonard utilizaba para operar su botnet.
Según Dr.Web, después de hacerse cargo de los dominios, 127 clientes del juego intentaron conectarse al dominio afectado, pero lo más probable es que el número de hosts infectados sea mucho mayor.
Korolev dijo que notificó a Valve, el fabricante de CS1.6, sobre los dos días cero. La compañía prometió un parche, pero se negó a decir cuándo.
Según Korolev, los usuarios pueden reconocer los servidores proxy de Belonard debido a un error en su código que mostraba el tipo de juego del servidor como “Counter-Strike 1”, “Counter-Strike 2” o “”Counter-Strike 3” en lugar del estándar. “Counter Strike 1.6.”
Imagen: Dr.Web
Fotos: Juegos de computadora retro que Europa del Este jugó mientras caía el Telón de Acero