Спецпроекты

Безопасность Пользователю Техника

Модификации к игре Dota 2 пробивают в ПК «дыры» для троянов

Около 200 игроков в популярную онлайн-игру имели неосторожность установить себе моды, компоненты которых эксплуатировали несколько уязвимостей. Проблема была решена ещё в середине января.

Мод с начинкой

Эксперты Avast Threat Labs обнаружили вредоносные модификации («моды») к популярной онлайн-игре Dota 2, которые устанавливают в пользовательские системы бэкдоры.

Моды под названием Overdog no annoying heroes (id 2776998052), Custom Hero Brawl (id 2780728794) и Overthrow RTZ Edition X10 XP (id 2780559339) были опубликованы прямо на платформе Steam.

Злоумышленник также добавил файл evil.lua, которым пользовался для тестирования запуска Lua-скриптов на серверной стороне. Этот скрипт мог использоваться для перехвата данных, запуска произвольных команд, отправки HTTP-запросов и т.д.

И если в первом опубликованном моде бэкдор было легко обнаружить, то в более новых это оказалось проблематичным.

Несколько модов к игре Dota 2 эксплуатировали уязвимости и устанавливали бэкдоры в системы игроков

Бэкдор позволяет осуществлять запуск любого скрипта JavaScript, пересланного через HTTP: это позволяет злоумышленник скрывать и модифицировать код эксплойта по своему усмотрению без необходимости проходить верификацию мода в Steam.

Злоумышленник может запускать произвольные команды в заражённых системах и устанавливать дополнительные вредоносные программы.

И ещё один эксплойт

Как минимум один раз бэкдор использовался для установки эксплойта к высокоопасной уязвимости в браузере Chrome CVE-2021-38003 в 2021 году. Злоумышленники успели попользоваться этой уязвимостью до того, как её залатали.

«Баг» непосредственно затрагивал систему V8 - движок JavaScript и WebAssembly.

В Dota V8 также используется, причём вне безопасной среды («песочницы»), так что уязвимость сама по себе позволяла запускать произвольный код на компьютерах и других игроков в Dota.

Эксплойт, написанный на JavaScript, внедрялся в легитимный файл - мод, добавлявший в игру табло счёта. Видимо, в расчёте затруднить обнаружение.

«Игроки нередко попадают в прицел киберзлоумышленников - хакеры надеются добраться до их платёжной информации и банковских счетов, - говорит Алексей Водясов, технический директор компании SEQ. - Иногда атаки предпринимаются с целью захвата аккаунта и возможного шантажа. Естественно, геймеры не ожидают, что вредоносные программы будут подстерегать их прямо в Steam. Расчёт был верен, но, к счастью, проблему удалось быстро выявить и нейтрализовать».

Avast уведомили компанию Valve - операторов Steam, и MOBA - разработчиков Dota 2 - о проблеме, и 12 января в компонент, использующий V8, были внесены необходимые изменения. До этого в Dota 2 использовалась версия V8, скомпилированная ещё в 2018 г.

Valve, со своей стороны, ликвидировали вредоносные моды, и уведомили установивших их игроков о проблеме. В результате атаки пострадали около 200 человек.

Роман Георгиев

Короткая ссылка