Модификации были размещены в Steam WorkShop и не вызывали подозрений.
Исследователи безопасности обнаружили четыре вредоносных игровых мода для Dota 2, которые использовались злоумышленниками для взлома систем игроков.
Как выяснили исследователи Avast Threat Labs, неизвестный пользователь создал четыре игровых мода для популярной многопользовательской онлайн-игры Dota 2 и опубликовал их прямо в официальной мастерской Steam . Модификации были названы следующим образом:
- «Overdog no annoying heroes» (id 2776998052);
- «Custom Hero Brawl» (id 2780728794);
- «Overdrow RTZ Edition X10 XP» (id 2780559339).
Киберпреступник внедрил во все три мода файл бэкдора с названием «evil.lua». Он позволял автору модификаций удаленно выполнять команды на зараженных устройствах, что потенциально позволяло устанавливать на них дополнительные вредоносные программы.
«Этот бэкдор разрешает выполнение любого JavaScript-кода, полученного через HTTP, предоставляя злоумышленнику возможность скрывать и изменять код эксплойта по своему усмотрению без прохождения процесса проверки модификации», — сообщил исследователь Avast.
Код бэкдора, выполняемого на игровых серверах Dota 2
На взломанных системах игроков бэкдор также использовался для загрузки эксплойта Chrome. Он использовал для своей работы критическую уязвимость в JavaScript V8 и движке WebAssembly под идентификатором CVE-2021-38003. Примечательно, что эта уязвимость была исправлена ещё в октябре 2021 года, но в игре использовался более ранняя версия V8.
«Поскольку JavaScript V8 не был изолирован, эксплойт позволял удаленно выполнять код против других игроков Dota», — добавили в Avast.
Публикация Avast Threat Labs в Twitter
Avast сообщила об уязвимости Valve, компании-разработчику Dota 2, которая обновила уязвимую версию V8 12 января 2023 года. До этого в игре использовалась v8.dll старой версии, выпущенной аж в декабре 2018 года. Неудивительно, что злоумышленник нашёл способ применить эксплойт. Valve оперативно удалила вредоносные игровые моды и предупредила всех игроков, пострадавших от атаки. Судя по данным компании, таких игроков было не более 200, что относительно немного, учитывая ежедневный онлайн в более полумиллиона человек.
Это не первая атака на популярные онлайн-игры в этом году. Ранее от опасного эксплойта пострадали игроки Grand Theft Auto Online. Компании RockStar Games понадобилось больше недели на устранение уязвимости .
Источник: securitylab