Od svojho októbrového vydania sa Battlefield 6 stal jedným z najočakávanejších uvedení tohto roku. Kyberzločinci sa však tejto popularity rýchlo chopili a šírili škodlivý softvér.
Útočníci vytvorili falošné cracknuté verzie hry a podvodných herných trénerov, šírili ich cez torrentové webové stránky a podzemné fóra, aby sa zamerali na nič netušiacich hráčov a jednotlivcov, ktorí hľadajú modifikácie hry.
Škodlivé kampane sa vydávajú za známe skupiny na prelomenie hier ako InsaneRamZes a RUNE, pričom používajú ich legitímne mená na získanie dôvery a dôveryhodnosti používateľov. Táto taktika odzrkadľuje bežné útoky na napodobňovanie značky používané v iných sektoroch.
Zločinci vyvinuli tri odlišné typy malvéru, z ktorých každý slúži rôznym cieľom, od krádeže údajov prehliadača a poverení kryptomenovej peňaženky až po vytvorenie trvalej diaľkovej kontroly nad infikovanými systémami.
Bezpečnostní výskumníci Bitdefender Labs identifikovali tieto malvérové kampane po analýze viacerých vzoriek.
Vyšetrovanie odhalilo, že žiadny zo škodlivých súborov neobsahuje skutočnú funkčnosť Battlefield 6 a pravdepodobne pochádzajú od rôznych skupín hrozieb na základe ich rôznych technických prístupov.
Prvá vzorka malvéru funguje ako jednoduchý, ale agresívny kradač informácií maskovaný ako „Inštalátor Battlefield 6 Trainer“. Používatelia ho môžu ľahko objaviť na druhej stránke s výsledkami vyhľadávania Google, vďaka čomu je vysoko dostupný pre potenciálne obete.
Po spustení tento malvér skenuje miestne adresáre a profily prehliadačov, aby extrahoval citlivé údaje vrátane informácií o krypto peňaženkách, reláciách súborov cookie z prehliadačov ako Chrome, Edge a Firefox, tokenoch a povereniach relácie Discord a údajov o rozšíreniach kryptomenových peňaženiek z doplnkov prehliadača Chrome, ako sú iWallet a Yoroi.
Regionálne blokovanie vykonávania (zdroj – Bitdefender)
Ukradnuté informácie putujú na server 198.251.84.9 cez nešifrovaný HTTP bez akýchkoľvek pokusov o zahmlievanie.
Druhý variant, distribuovaný ako „Battlefield 6.GOG-InsaneRamZes“, demonštruje výrazne väčšiu sofistikovanosť prostredníctvom pokročilých únikových taktík.
Malvér implementuje regionálne blokovanie vykonávania, ktoré zastaví operáciu, keď zistí nastavenia krajiny Ruska alebo SNŠ, čo je bežné opatrenie vlastnej ochrany používané skupinami so sídlom v týchto regiónoch.
Hashovanie rozhrania Windows API (zdroj – Bitdefender)
Využíva hashovanie rozhrania Windows API na zakrytie svojich operácií a spúšťa kontroly detekcie v karanténe pomocou analýzy časovania na určenie doby prevádzkyschopnosti systému.
Analýza pamäte navyše odhalila odkazy na vývojové nástroje ako Postman a BitBucket, čo naznačuje, že malvér sa zameriava na poverenia vývojárov a kľúče API na ďalšie využitie.
Tretia ukážka, maskovaná ako obraz ISO Battlefield 6, poskytuje trvalého agenta príkazov a ovládania. Spustiteľný súbor s veľkosťou 25 MB obsahuje komprimované údaje, ktoré sa rozbalia a v používateľskom adresári vytvorí súbor s názvom „2GreenYellow.dat“, ktorý sa potom v tichosti spustí pomocou regsvr32.exe.
Nainštalovaná knižnica DLL sa opakovane pokúša o kontakt s ei-in-f101.1e100.net, pričom sa zdá, že používa infraštruktúru Google ako masku prenosu alebo komunikácie. Štruktúra C2 označuje schopnosť vykonávať vzdialené príkazy alebo budúcu krádež údajov.
Sledujte nás na Google News, LinkedIn a X a získajte ďalšie okamžité aktualizácie, nastavte CSN ako preferovaný zdroj v Google.
