Verschillende beveiligingsonderzoekers hebben vastgesteld dat kwaadaardige game-mods van Dota 2 een potentiële bedreiging vormden voor de achterdeur van de spelerssystemen.
Een verdachte aanvaller bedacht de mods voor vier games in relatie tot de populaire Dota 2 multiplayer online gevecht arena-videogame. Hij publiceerde het in de Steam Store om zich te richten op de meeste gamefans, zoals geïdentificeerd door de Threat Lab Researchers.
Onderzoeker van Avast Malware verklaarde: "Deze spelmodi heetten Overdog, geen irritante helden (id 2776998052), Custom Hero Brawl (id 2780728794) en Overthrow RTZ Edition X10 XP (id 2780559339)."
De aanvaller specificeerde ook het nieuwe bestand dat bekend staat als evil.lua, dat wordt gebruikt om Lua-uitvoeringsmogelijkheden aan de serverzijde te testen. Dergelijke kwaadaardige fragmenten kunnen worden gekoppeld aan het loggen van de uitvoering van willekeurige systeemopdrachten die uiteindelijk leiden tot het maken van coroutines en het plaatsen van HTTP GET-verzoeken.
Hoewel de dreigingsacteur helpt bij de vroege detectie van de gebundelde achterdeur voor de eerste spelmodus die uitkomt op Steam Store, de twintig kwaadaardige code lijnen en spelaanpassingen konden niet worden geïdentificeerd.
Backdoor heeft de bedreigingsactor geholpen met het op afstand uitvoeren van opdrachten met betrekking tot de geïnfecteerde apparaten die de installatie van malware op het apparaat bevorderen.
Vojtěšek zei: “Deze achterdeur maakt de uitvoering mogelijk van alle JavaScript die via HTTP is verkregen, waardoor de aanvaller de mogelijkheid krijgt om de exploitcode naar eigen goeddunken te verbergen en aan te passen zonder het verificatieproces van de spelmodus te ondergaan, wat gevaarlijk kan zijn, en zonder het hele aangepaste spel bij te werken. modus.”
Lua Backdoor-code gelanceerd op Dota 2-gameservers
Het gebruik van een achterdeur op de gecompromitteerde systemen van de spelers resulteerde in een download van de Chrome-exploits voor misbruik in het wild.
De voorlopig gerichte kwetsbaarheid staat op CVE-2021-38003, een enorme beveiligingsfout die zichtbaar is in Google's V8 JavaScript en zelfs de WebAssembly-engine, die werd uitgebuit in Zero-day-aanvallen en in oktober 2021 hersteld.
Vojtěšek voegde verder toe: "Aangezien V8 niet in Dota in een sandbox was geplaatst, maakte de exploit op zichzelf het mogelijk om op afstand code uit te voeren tegen andere Dota-spelers."
De JavaScript-exploit voor de CVE-2021-38003 werd geïnjecteerd met behulp van het legitieme bestand dat onderhevig is aan de scorebordfunctionaliteit van de game, die moeilijk te detecteren is.
Avast rapporteerde zijn bevindingen verder aan de Dota 2MOBA-gamingontwikkelaar, Valve, die de kwetsbaarheid van de V8-versie op 12 januari 2023 heeft bijgewerkt. Voordien maakte Dota 2 gebruik van de v8.dll-versie die in december 2018 was gecompileerd.
Onlangs heeft de ontwikkelaar van GTA, Rockstar Games, een beveiligingsupdate uitgebracht die relevant is om het online Grand Theft Auto-probleem zo snel mogelijk aan te pakken!
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- Platoblockchain. Web3 Metaverse Intelligentie. Kennis versterkt. Toegang hier.
- Bron: https://esportsjunkie.com/breaking/malicious-game-modifications-in-dota-2-infected-players-with-the-malware
