Модификации к игре Dota 2 пробивают в ПК «дыры» для троянов
Около 200 игроков в популярную онлайн-игру имели неосторожность установить себе моды, компоненты которых эксплуатировали несколько уязвимостей. Проблема была решена ещё в середине января.
Мод с начинкой
Эксперты Avast Threat Labs обнаружили вредоносные модификации («моды») к популярной онлайн-игре Dota 2, которые устанавливают в пользовательские системы бэкдоры.
Моды под названием Overdog no annoying heroes (id 2776998052), Custom Hero Brawl (id 2780728794) и Overthrow RTZ Edition X10 XP (id 2780559339) были опубликованы прямо на платформе Steam.
Злоумышленник также добавил файл evil.lua, которым пользовался для тестирования запуска Lua-скриптов на серверной стороне. Этот скрипт мог использоваться для перехвата данных, запуска произвольных команд, отправки HTTP-запросов и т.д.
И если в первом опубликованном моде бэкдор было легко обнаружить, то в более новых это оказалось проблематичным.
Бэкдор позволяет осуществлять запуск любого скрипта JavaScript, пересланного через HTTP: это позволяет злоумышленник скрывать и модифицировать код эксплойта по своему усмотрению без необходимости проходить верификацию мода в Steam.
Злоумышленник может запускать произвольные команды в заражённых системах и устанавливать дополнительные вредоносные программы.
И ещё один эксплойт
Как минимум один раз бэкдор использовался для установки эксплойта к высокоопасной уязвимости в браузере Chrome CVE-2021-38003 в 2021 году. Злоумышленники успели попользоваться этой уязвимостью до того, как её залатали.
«Баг» непосредственно затрагивал систему V8 - движок JavaScript и WebAssembly.
В Dota V8 также используется, причём вне безопасной среды («песочницы»), так что уязвимость сама по себе позволяла запускать произвольный код на компьютерах и других игроков в Dota.
Эксплойт, написанный на JavaScript, внедрялся в легитимный файл - мод, добавлявший в игру табло счёта. Видимо, в расчёте затруднить обнаружение.
«Игроки нередко попадают в прицел киберзлоумышленников - хакеры надеются добраться до их платёжной информации и банковских счетов, - говорит Алексей Водясов, технический директор компании SEQ. - Иногда атаки предпринимаются с целью захвата аккаунта и возможного шантажа. Естественно, геймеры не ожидают, что вредоносные программы будут подстерегать их прямо в Steam. Расчёт был верен, но, к счастью, проблему удалось быстро выявить и нейтрализовать».
Avast уведомили компанию Valve - операторов Steam, и MOBA - разработчиков Dota 2 - о проблеме, и 12 января в компонент, использующий V8, были внесены необходимые изменения. До этого в Dota 2 использовалась версия V8, скомпилированная ещё в 2018 г.
Valve, со своей стороны, ликвидировали вредоносные моды, и уведомили установивших их игроков о проблеме. В результате атаки пострадали около 200 человек.