Fallas En Día Cero En Counter Strike 1.6 Pone En Riesgo A Los Gamers
Si eres un jugador de Counter-Strike, entonces mantente alerta, porque un 39% de todos los servidores disponibles de Counter-Strike 1.6 son maliciosos, es decir, han sido configurados para hackear remotamente los ordenadores de los gamers.
Un grupo de investigadores de ciberseguridad en Dr. Web ha revelado que un atacante ha estado usando servidores maliciosos de gaming, con la intención de sigilosamente comprometer los computadores de los jugadores de Counter-Strike en todo el mundo, explotando vulnerabilidades de día cero en el cliente de juego.
De acuerdo a los investigadores, Counter-Strike 1.6, un popular videojuego que ya tiene casi 2 décadas, contiene múltiples vulnerabilidades de RCE (ejecución de código remoto, por sus siglas en inglés) en su software, lo cual permite que atacantes ejecuten código arbitrario en los computadores de los gamers tan pronto se conecten al servidor malicioso, sin requerir cualquier otra interacción de parte de los gamers.
Se ha descubierto que un desarrollador de Rusia, con el nickname de “Belonard”, ha estado explotando estas vulnerabilidades para promover sus negocios y crear un botnet (un cojunto de robots) de sistemas comprometidos. Usaba un troyano para lograr su hazaña.
El troyano era nombrado Belonard, como su creador, y ha sido diseñado para ganar persistencia, reemplazar la lista de todos los servidores disponibles de juego en el cliente vulnerable del juego instalado en sistemas infectados, y crear proxies para expandir el troyano.
“Como una regla, los servidores de proxy muestran un ping más bajo, así que otros jugadores podrán verlos al comienzo de la lista. Si elige uno de ellos, el jugador es redirigido a un servidor malicioso donde sus computadores son infectados con Troyano.Belonard”, dijo Dr. Web en un reporte publicado el miércoles.
Aparte de esto, el astuto desarrollador está distribuyendo una versión pirata del cliente a través de su sitio web, la cual viene ya infectada con el troyano Belonard.
Uno de los 11 componentes del troyano actúa como un protector del cliente malicioso que “filtra peticiones, archivos y comandos recibidos de otros servidores de juego y transfiere datos acerca de cambios intentados desde el cliente al servidor del desarollador del troyano”.
El malware además registra servidores de proxy de juego creados con la API de Steam, y usa cifrado para almacenar datos en el sitema, facilitando la comunicación con su servidor de comando-y-control.
“De acuerdo a nuestros analistas, de 5000 servidores disponibles del cliente oficial de Steam, 1051 fueron creados por el troyano Belonard”, dicen los analistas.
“Esto es 39% de todos los servidores. Una red de este tamaño permitió al desarrollador del troyano que promocione otros servidores por dinero, agregándolos a la lista de servidores disponibles en los clientes infectados.”
Los analistas han reportado ya las vulnerabilidades al equipo de Valve.
Además, los analistas de Dr. Web reportaron nombres de dominio maliciosos usados por el desarrollador del malware.
Cabe señalar que la empresa “Registrar” de Rusia, que era quien hospedaba estos dominios, los ha suspendido en un intento de derribar la red de amenaza.
Sin embargo, tumbar algunos dominios no detendría a los atacantes de configurar más servidores maliciosos, a menos de que los desarrolladores de Counter-Strike parchen las vulnerabilidades en su software.