Reading Time: 3 minutes
Vulnerabilidades zero-day em 39% de servidores do jogo Counter Strike 1.6 podem comprometer os devices dos utilizadores.

De acordo com os especialistas da empresa de segurança Dr. Web, 39% de todos os servidores de jogos online do Counter-Strike 1.6 são maliciosos.

O jogo Counter-Strike 1.6 foi desenvolvido pela Valve Corporation em 2000. Aproximadamente 20.000 jogadores estão a utilizar clientes oficiais do Counter-Strike 1.6, e o número total de servidores de jogos registados no Steam é superior a 5.000.

Os agentes de ameaças criaram servidores com códigos maliciosos na tentativa de invadir os computadores dos jogadores em todo o mundo, explorando as vulnerabilidades de dia zero no cliente do jogo.

Os proprietários de muitos servidores ganham dinheiro a vender vários privilégios, como acesso a armas e proteção contra bans.

“Some server owners advertise themselves independently, while others purchase server promotion services from contractors. Having paid for a service, customers often remain oblivious as to how exactly their servers are advertised.” reads the analysis published by Dr.Web. “As it turned out, the developer nicknamed, “Belonard”, resorted to illegal means of promotion. His server infected the devices of players with a Trojan and used their accounts to promote other game servers.”

 

O proprietário do servidor malicioso explora vulnerabilidades no cliente do jogo. Essas falhas infetas os utilizadores  com um Trojan recém-escrito chamado Belonard, que faz o download de malware para proteger o Trojan no sistema e o distribui para outros players (tem propriedade de worm).

 

Especialistas do Dr. Web relataram que os atacantes exploram duas falhas de Execução Remota de Código (RCE, Remote Code Execution) no cliente oficial do jogo, e também encontraram quatro problemas na versão pirata.

O ator malicioso que concebeu o malware consegui infetar vários servidores com o malware criando assim uma potente botnet.

The developer ‘Belonard‘ of the Trojan managed to create a botnet compromising a large number of the CS 1.6 game servers. Belonard is also distributing a tainted of the game client via his website, the version is infected with the Belonard Trojan.

 

O Trojan é bastante avançado. Depois de infectar o device do utilizador, o Trojan  substitui a lista de servidores de jogos disponíveis e cria proxies para se disseminar.

“Once set up in the system, Trojan.Belonard replaces the list of available game servers in the game client and creates proxies on the infected computer to spread the Trojan.” reads the analysis published by Dr. Web.

“As a rule, proxy servers show a lower ping, so other players will see them at the top of the list. By selecting one of them, a player gets redirected to a malicious server where their computer becomeinfected with Trojan.Belonard.”

 

The Trojan.Belonard is composed of 11 components, experts noticed that the malicious code operates under different scenarios, depending on the game client. If the gamer is using the official client, the Trojan infects the device exploiting an RCE vulnerability through the malicious server and then establishes in the system. A clean pirated client is infected the same way.

If a user downloads an infected client from the website operated by the owner of the malicious server, the Trojan’s persistence in the system is ensured after the first launch of the game.

 

 

Os especialista observaram que um dos componentes, Trojan.Belonard.10, permanece no sistema e atua como um protetor. Ele é capaz de filtrar solicitações, ficheiros e comandos recebidos de outros servidores de jogos e encaminhar dados sobre tentativas de alteração no cliente para o servidor do ator do Trojan. Este trojan atua como uma especie de orquestrador MITM.

Outro componente, o Trojan.Belonard.9, é usado para criar servidores proxy e registrá-los com a Steam API.

”According to our analysts, out of some 5,000 servers available from the official Steam client, 1,951 were created by the Belonard Trojan,” the researchers say.

 

O Dr. Web já comunicou as falhas à Valve Corporation. A empresa de segurança também comunicou nomes de domínio maliciosos usados pelo ator malicioso que foram automaticamente suspendidos pelo registrar russo.

“Doctor Web’s analysts took all necessary measures in order to neutralize the Belonard trojan and stop botnet from growing. The delegation of the domain names used by the malware developer was suspended with the help of REG.ru domain name registrar. Since redirection from a fake game server to the malicious one happened via domain name, CS 1.6 players will no longer be in danger of connecting to the malicious server and getting infected by the Belonard trojan. This interrupted work of almost all the components of the malware. ” concludes the analysis.

“At the present moment, Belonard botnet can be considered neutralized; but in order to ensure the safety of Counter-Strike game clients, it is necessary to close current vulnerabilities.”