Lỗ hổng Zero-Day trong CS 1.6 cho phép hacker tấn công PC của game thủ

Lỗ hổng Zero-Day trong CS 1.6 cho phép hacker tấn công PC của game thủ

March 14, 2019 | vietsunshine

Nếu bạn là một game thủ Counter-Strike, thì hãy cẩn thận, bởi vì 39% tất cả các máy chủ trò chơi Counter-Strike 1.6 hiện có trực tuyến là malicious và chúng được thiết lập để hack máy tính từ xa.

Một nhóm các nhà nghiên cứu an ninh mạng tại Dr. Web đã tiết lộ rằng một kẻ tấn công đã sử dụng các máy chủ độc hại để âm thầm xâm nhập các máy tính của các game thủ Counter-Strike trên toàn thế giới bằng cách khai thác các lỗ hổng zero-day trong máy khách trò chơi.

Theo các nhà nghiên cứu, Counter-Strike 1.6, một trò chơi phổ biến đã gần hai thập kỷ, chứa nhiều lỗ hổng thực thi mã từ xa (RCE) chưa được vá trong phần mềm máy khách của nó, cho phép kẻ tấn công thực thi mã tùy ý trên máy tính của game thủ ngay khi chúng kết nối với máy chủ độc hại, mà không yêu cầu bất kỳ tương tác hơn nữa từ các game thủ.

Một nhà phát triển máy chủ chơi game của Nga, có biệt danh là ‘Belonard’, đã khai thác các lỗ hổng này để quảng bá doanh nghiệp của mình và tạo ra một mạng botnet của các hệ thống game thủ bị xâm nhập bằng cách lây nhiễm một Trojan tùy chỉnh.

Được đặt tên là Belonard, Trojan được đặt theo tên nhà phát triển của nó đã được thiết kế để có được sự bền bỉ, thay thế danh sách các máy chủ trò chơi có sẵn trong ứng dụng khách để cài đặt trên các hệ thống bị nhiễm và tạo proxy để tiếp tục truyền bá Trojan.

“Theo quy định, các máy chủ proxy hiển thị ping thấp hơn sẽ được người chơi nhìn thấy ở đầu danh sách. Bằng cách chọn một trong số họ, một người chơi sẽ được chuyển hướng đến một máy chủ độc hại nơi máy tính của họ bị nhiễm Trojan.Belonard,” Dr. Web cho biết trong một báo cáo được công bố hôm thứ Tư.

Bên cạnh đó, nhà phát triển giả mạo cũng đang phân phối một phiên bản máy khách trò chơi bị sửa đổi hoặc vi phạm bản quyền thông qua trang web của anh ta đã bị nhiễm Trojan Belonard.

Một trong 11 thành phần của Trojan đóng vai trò là người bảo vệ máy khách độc hại, “chúng lọc các yêu cầu, tệp và lệnh nhận được từ các máy chủ trò chơi khác và thay đổi dữ liệu nhằm mục đích chuyển máy khách đến máy chủ của nhà phát triển Trojan.”

Dưới đây là sơ đồ dòng tấn công cho thấy cách Belonard hoạt động và lây nhiễm cho máy tính của game thủ:

sơ đồ dòng tấn công cho thấy cách Belonard

Phần mềm độc hại cũng đăng ký tạo các máy chủ trò chơi proxy bằng API Steam và sử dụng mã hóa để lưu trữ dữ liệu trên hệ thống và để liên lạc với máy chủ từ xa C&C (command-and-control).

“Theo các nhà phân tích của chúng tôi, trong số 5.000 máy chủ có sẵn từ máy khách Steam chính thức, 1.951 đã được tạo ra bởi Trojan Belonard,” các nhà nghiên cứu cho biết. Các nhà nghiên cứu đã báo cáo các lỗ hổng cho Valve Corporation, nhà phát triển trò chơi Counter-Strike 1.6.

Ngoài ra, các nhà nghiên cứu của Dr. Web cũng báo cáo các tên miền được nhà phát triển độc hại sử dụng cho nhà đăng ký web của Nga và sau đó nhiều tên miền trong số đó đã được gỡ bỏ.

Tuy nhiên, việc gỡ xuống một vài tên miền sẽ không ngăn được kẻ tấn công thiết lập nhiều máy chủ độc hại hơn trừ khi các nhà phát triển Counter-Strike vá các lỗ hổng thực thi mã từ xa được báo cáo trong phần mềm chơi game của nó.

Nguồn: Zero-Day Flaws in Counter-Strike 1.6 Let Malicious Servers Hack Gamers’ PCs

Tags: , ,