安全研究人员发现了四种恶意 Dota 2 游戏模组,威胁者使用这些模组对玩家的系统设置后门。
Avast 威胁实验室的研究人员发现,未知的攻击者为广受欢迎的 Dota 2 多人在线竞技场视频游戏创建了四个游戏模组,并将它们发布在 Steam 商店上以瞄准游戏粉丝。
“这些游戏模式被命名为 Overdog no annoying heroes (id 2776998052)、Custom Hero Brawl (id 2780728794) 和 Overthrow RTZ Edition X10 XP (id 2780559339),”Avast 恶意软件研究员 Jan Vojtěšek 说。
攻击者还包括一个名为 evil.lua 的新文件,用于测试服务器端 Lua 执行能力。 此恶意代码段可用于记录日志、执行任意系统命令、创建协程和发出 HTTP GET 请求。
虽然威胁行为者很容易在 Steam 商店发布的第一个游戏模式中检测到捆绑的后门,但三个较新的游戏模组中包含的 20 行代码恶意代码更难发现。
后门使威胁行为者能够在受感染的设备上远程执行命令,从而可能允许在设备上安装更多恶意软件。
“此后门允许执行通过 HTTP 获取的任何 JavaScript,使攻击者能够自行决定隐藏和修改漏洞利用代码,而无需进行游戏模式验证过程,这可能很危险,并更新整个 自定义游戏模式,”Vojtěšek 说。
在玩家的受损系统上,后门还用于下载已知在野外被滥用的 Chrome 漏洞。
目标漏洞是 CVE-2021-38003,这是 Google 的 V8 JavaScript 和 WebAssembly 引擎中的一个高严重性安全漏洞,在攻击中被用作零日漏洞并于 2021 年 10 月修复。
“由于 V8 未在 Dota 中进行沙箱化,因此利用自身的漏洞可以对其他 Dota 玩家执行远程代码,”Vojtěšek 补充道。
CVE-2021-38003 的 JavaScript 漏洞被注入到一个合法文件中,该文件为游戏添加了记分牌功能,可能会使其更难检测。
Avast 向 Dota 2 MOBA 游戏开发商 Valve 报告了他们的发现,后者于 2023 年 1 月 12 日更新了易受攻击的 V8 版本。在此之前,Dota 2 使用的是 2018 年 12 月编译的 v8.dll 版本。
Valve 还删除了恶意游戏模组,并提醒所有受攻击影响的玩家。
“不管怎样,我们可以说这次攻击的规模不是很大。据 Valve 称,受影响的玩家不到 200 人,”Vojtěšek 补充道。
1 月,North GTA 作弊程序的开发者还利用 Grand Theft Auto 在线模式远程代码执行漏洞,在 2023 年 1 月 20 日发布的版本中加入了禁止和破坏玩家帐户的功能。
外挂开发者在 1 月 21 日删除了新版本中的功能,并为外挂用户造成的混乱道歉。
GTA 的开发商 Rockstar Games 于 2 月 2 日发布了安全更新以解决 Grand Theft Auto Online 问题。
更新:修改了文章和标题以使用“mods”,这是游戏修改的正确术语。
如若转载,请注明出处:https://www.ozabc.com/it/534688.html