恶意Counter Strike 16服务器使用零天来感染恶意软件用户

北京时间2019年3月15日,ope体育报道,安全研究人员发现了一个恶意的Counter-Strike 1.6多人服务器网络,利用用户游戏客户端中的远程代码执行(RCE)漏洞,用一种名为Belonard的新恶意软件来感染他们。

俄罗斯反病毒公司Dr.Web的研究人员周一在一份报告中表示,该网络已被关闭。

整个操作依赖于代理多人游戏服务器,这些服务器由于ping值较低而诱使用户连接到它们。

当CS1.6游戏玩家连接到这些代理服务器时,他们将被重定向到使用四个RCE中的一个(在官方CS1.6游戏中有两个,在盗版中有两个)来执行代码并植入Belonard恶意软件的恶意游戏。他们的电脑。

据Web安全研究员Ivan Korolev博士称,僵尸网络背后的人将使用Belonard恶意软件对用户的CS1.6客户进行修改,并在用户游戏中展示广告。

“当玩家开始游戏时,他们的昵称将改为可以下载受感染游戏客户端的网站地址,而游戏菜单将显示指向VKontakte CS 1.6社区的链接,其中包含超过11,500名订阅者,”Korolev说道。 。

但最重要的是,该木马主要用于推广合法的CS1.6多人游戏服务器,方法是将它们添加到用户的可用服务器列表中,而Belonard开发人员可以付费使用。

为了确保Belonard僵尸网络的增长并保持活跃,恶意软件的作者还有另一个技巧。

根据Korolev的说法,Belonard恶意软件还将创建在用户计算机上运行的代理服务器。

然后,这些服务器将显示在主CS1.6多人服务器列表中,其他用户将看到并连接这些服务器,认为它们是合法服务器。

但是,这些代理服务器会将游戏玩家重定向到托管四个RCE的恶意服务器,感染新游戏玩家,并提升Belonard僵尸网络的排名。

根据Korolev的说法,Belonard代理服务器网络增长到1,951台服务器,占当时可用的所有CS1.6多机服务器的39%。

Dr.Web研究员表示,他们与REG.ru域名注册商合作,取消了Belonard工作人员用于操作僵尸网络的所有域名。

在接管域名后,Dr.Web表示有127个游戏客户试图连接到水槽域,但受感染主机的数量很可能要大得多。

Korolev告诉ZDNet他告知CS1.6的制造商Valve,关于这两个零日。该公司承诺提供补丁,但拒绝透露何时。

根据Korolev的说法,用户可以识别Belonard的代理服务器,因为其代码中的错误将服务器游戏类型显示为“反恐精英1”,“反恐精英2”或“反恐精英3”而不是标准“反恐精英1.6。”更多热点新闻尽在ope可访问的网址 https://www.hjzcom.com/