Güvenlik araştırmacıları, bir tehdit oyuncusu tarafından oyuncuların sistemlerini geri yüklemek için kullanılan dört kötü niyetli Dota 2 oyun modu keşfetti.
Bilinmeyen saldırgan, son derece popüler Dota 2 çok oyunculu çevrimiçi savaş arenası video oyunu için dört oyun modu oluşturdu ve Avast Tehdit Laboratuarları araştırmacılarının bulduğu gibi, oyun hayranlarını hedeflemek için onları Steam mağazasında yayınladı.
Avast Malware araştırmacısı Jan VoJěšek, "Bu oyun modlarına aşırı derecede can sıkıcı kahramanlar (id 2776998052), özel kahraman kavgası (ID 2780728794) ve devrilme RTZ baskısı x10 xp (id 278559339) olarak adlandırıldı." Dedi.
Saldırgan ayrıca, sunucu tarafı LUA yürütme özelliklerini test etmek için kullanılan Evil.Lua adlı yeni bir dosya da içeriyordu. Bu kötü niyetli snippet, günlüğe kaydetmek, keyfi sistem komutlarını yürütmek, koroutinler oluşturmak ve HTTP alma istekleri yapmak için kullanılabilir.
Tehdit oyuncusu, Steam mağazasında yayınlanan ilk oyun modunda paketlenmiş arka kapıyı tespit etmeyi çok kolaylaştırırken, üç yeni oyun moduna dahil olan yirmi kod kötü niyetli kodun tespit edilmesi çok daha zordu.
Arka kapı, tehdit aktörünün enfekte cihazlarda uzaktan komutlar yürütmesini sağlayarak, potansiyel olarak cihazda daha fazla kötü amaçlı yazılım kurulmasına izin verdi.
"Bu arka kapı, HTTP aracılığıyla elde edilen herhangi bir JavaScript'in yürütülmesine izin verir ve saldırgana, tehlikeli olabilen oyun modu doğrulama sürecinden geçmeden, istismar kodunu kendi takdirine bağlı olarak hem gizleme hem de değiştirme gücü sağlar ve özel oyun modunu güncelleme yetkisi verir. , "Dedi Vojtěšek.
Oyuncuların tehlikeye atılan sistemlerinde, arka kapı da vahşi doğada istismar edildiği bilinen bir krom istismarını indirmek için kullanıldı.
Hedeflenen güvenlik açığı, Google'ın V8 JavaScript ve Webassembly motorundaki yüksek aralıklı bir şiddet güvenlik kusuru olan CVE-2021-38003'tür.
Vojtěšek, "V8, DOTA'da kum havuzu olmadığından, istismar kendi başına diğer DOTA oyuncularına karşı uzaktan kod yürütülmesine izin verdi."
CVE-2021-38003 için JavaScript istismarı, oyuna skorbord işlevselliği ekleyen meşru bir dosyaya enjekte edildi.
Avast, bulgularını 12 Ocak 2023'te savunmasız V8 sürümünü güncelleyen Dota 2 MOBA oyun geliştiricisi Valve'ye bildirdi. Bundan önce Dota 2, Aralık 2018'de derlenen bir V8.dll versiyonu kullandı.
Valve ayrıca kötü amaçlı oyun modlarını indirdi ve saldırıdan etkilenen tüm oyuncuları uyardı.
Vojtěšek, "Öyle ya da böyle, bu saldırının çok büyük olmadığını söyleyebiliriz. Valve'ye göre 200'in altında oyuncu etkilendi."
Ocak ayında, 20 Ocak 2023'te yayınlanan bir sürümde oyuncuların hesaplarını yasaklamak ve yozlaşmış oyuncuların hesaplarını içerecek şekilde, North GTA hile geliştiricisi tarafından bir Grand Theft Auto Online uzaktan kod yürütme güvenlik açığı da kullanıldı.
Hile geliştiricisi, 21 Ocak'ta yeni bir versiyonda özellikleri kaldırdı ve Cheat'in kullanıcılarının neden olduğu kaos için özür diledi.
GTA'nın geliştiricisi Rockstar Games, 2 Şubat'ta Grand Theft Auto Online sayısını ele almak için bir güvenlik güncellemesi yayınladı.
GÜNCELLEME: Makaleyi ve "modları" kullanacak başlığı, oyun modifikasyonları için doğru terim olarak gözden geçirildi.
Aktif olarak sömürülen Goany Where Mft Zero-Day için serbest bırakılan istismar
Multi milyon dolarlık saldırılarda yeni kraliyet fidye yazılımı ortaya çıkıyor
Bilgisayar korsanları, oyun şirketlerini ihlal etmek için yeni Icebreaker kötü amaçlı yazılım kullanıyor
Kritik VMware Vrealize RCE Güvenlik Açığı
Araştırmacılar VMware Vrealize Log RCE istismarını yayınlayacak, şimdi Patch
Kaynak: Bleeping Computer