39% máy chủ Counter-Strike 1.6 được sử dụng để phát tán mã độc

Khi chơi game, hầu hết mọi người không lo lắng về việc bị lây nhiễm mã độc bởi ứng dụng game của mình. Tuy nhiên, một nghiên cứu mới đây cho thấy đó chính xác là những gì đang xảy ra khi 39% tất cả các máy chủ của game Counter-Strike 1.6 hiện tại đang cố gắng lây nhiễm mã độc cho người chơi thông qua các lỗ hổng trong ứng dụng.

39% máy chủ Counter-Strike 1.6 được sử dụng để phát tán mã độc - CyberSec365.org

Trong một báo cáo mới của Dr. Web, các nhà nghiên cứu giải thích cách nhà phát triển sử dụng các lỗ hổng máy người dùng, mã độc botnet Belonard Trojan và các máy chủ độc hại để quảng bá máy chủ trò chơi của khách hàng của mình và tranh thủ thêm nạn nhân vào botnet. Vào thời kỳ đỉnh cao, mạng botnet này phát triển lớn đến mức khoảng 39% trong số 5.000 máy chủ Counter-Strike 1.6 có bản chất độc hại và cố gắng lây nhiễm những người chơi được kết nối.

"Using this pattern, the developer of the Trojan managed to create a botnet that makes up a considerable part of the CS 1.6 game servers," stated the research by Dr. Web. "According to our analysts, out of some 5,000 servers available from the official Steam client, 1,951 were created by the Belonard Trojan. This is 39% of all game servers. A network of this scale allowed the Trojan’s developer to promote other servers for money, adding them to lists of available servers in infected game clients."

Trojan Belonard

Để quảng cáo các máy chủ của mới, một nhà phát triển có biệt danh Belonard đã tạo ra các máy chủ độc hại mà khi được kết nối với máy client Counter-Strike 1.6, sẽ lây nhiễm cho người chơi bằng Belonard Trojan.

Để làm điều này, botnet Belonard đã sử dụng các máy client bị nhiễm trước hoặc các lỗ hổng thực thi lệnh từ xa trong các máy client, cho phép chúng cài đặt Trojan chỉ bằng cách người chơi truy cập vào máy chủ độc hại. Vì ứng dụng game Counter-Strike 1.6 không còn được hỗ trợ, tất cả người chơi của trò chơi này là nạn nhân tiềm năng của mạng botnet này.

Dưới đây là một luồng tấn công chứng minh cách Belonard hoạt động.

39% máy chủ Counter-Strike 1.6 được sử dụng để phát tán mã độc - CyberSec365.org

 Khi được cài đặt, Trojan sẽ tạo một Windows service có tên "Windows DHCP Service" và sử dụng giá trị ServiceDLL để tải Trojan Belonard được lưu tại C:\Windows\System32\WinDHCP.dll.

Trojan sau đó sẽ thay thế các tệp trong ứng dụng game không chỉ quảng bá trang web của kẻ tấn công nơi khách hàng trò chơi bị nhiễm có thể được tải xuống mà còn quảng bá các máy chủ trò chơi giả mạo. Nếu người chơi cố gắng tham gia vào một trong những máy chủ này, họ sẽ được chuyển hướng đến một máy chủ trò chơi độc hại sử dụng lỗ hổng RCE để lây nhiễm nạn nhân bằng Trojan Belonard.

Triệt hạ hệ thống botnet

Phối hợp với công ty đăng ký tên miền REG.ru, Dr. Web đã có thể triệt hạ các tên miền mà Trojan sử dụng để chuyển hướng người chơi đến các máy chủ trò chơi giả mạo. Điều này sẽ giúp ngăn chặn người chơi mới bị nhiễm bệnh.

Dr. Web cũng đã tiếp tục theo dõi các tên miền khác được sử dụng bởi Domain Generation Algorithm (DGA) của phần mềm độc hại.

Nguồn: Bleeping Computer