Хакеры прячут вредоносы под пиратские версии Battlefield 6
3 мин
62
1
Специалисты из Bitdefender Labs обнаружили вредоносные программы, которые маскируются под пиратские версии популярного шутера Battlefield 6 и игровые трейнеры для него. ВПО распространяется через торрент-сайты и сайты с популярными доменами, посвящённые игре от Electronic Arts.
Игровыми трейнерами чаще всего называют читы, которые дают преимущество в мультиплеере. За использование таких трейнеров в мультиплеерных играх игроков банят бессрочно, в некоторых случаях могут быть и более серьёзные последствия.
Киберпреступники распространяют заражённые установщики и приложения, которые содержат вредоносы-вайперы. Также они создали фейковые тренажёры, которые крадут информацию. Анализ трёх таких образцов показал, что хакеры используют популярность игры для взлома компьютеров и кражи данных.
Первый образец из рассмотренных маскируется под установщик Battlefield 6 Trainer. Вредонос быстро сканирует браузеры (Chrome, Edge, Firefox, Opera, Brave, Vivaldi, WaveBrowser), крадёт данные криптокошельков, cookies и Discord-токены, отправляет эти данные по незашифрованному протоколу HTTP на определённый IP. Этот псевдотренер встречается на сайте flingtrainer.io, где злоумышленники используют имя настоящего разработчика трейнеров FLiNG.
Второй образец распространяется как взломанная версия Battlefield 6. GOG-InsaneRamZes. У вируса продвинутые методы антианализа и региональной блокировки. Вредонос проверяет системные локали и прекращает выполнение, если определяет, что компьютер находится в России или странах СНГ. ВПО также маскирует вызовы системных API, проверяет время работы системы на предмет запуска в песочнице и нацелен на кражу ключей API и учётных данных для доступа к базам данных.
Третий образец от хак-группы RUNE представлен в виде ISO-образа Battlefield 6 V4.8.8. ВПО дропает DLL-файл и использует команду regsvr32.exe с флагом /i для запуска функции DllInstall. Вредоносный DLL пытается связаться с сервисом в зоне Google, возможно, для маскировки трафика команд управления (C2). Также структура кода предполагает возможность удалённого выполнения команд и кражи данных, однако эта функция в ВПО не активирована.
Кибербез-специалисты из Bitdefender Labs рекомендуют покупать игры только на официальных платформах (EA App, Steam, Epic Games Store, Uplay, GOG), избегать торрентов, сторонних трейнеров, неизвестных исполняемых файлов и использовать поведенческую защиту в реальном времени, чтобы блокировать вредоносные программы до их запуска.
