Nie wierz w Battlefield 6 za darmo. Zamiast gry dostaniesz wirusa

Premiera Battlefield 6 przyciągnęła ogromną uwagę nie tylko graczy, ale i cyberprzestępców. Najnowszy raport Bitdefender Labs wskazuje na to, iż w sieci krążą masowo spreparowane pirackie wersje gry oraz fałszywe trainery, które nie mają nic wspólnego z prawdziwym Battlefieldem, za to potrafią skutecznie przejąć kontrolę nad komputerem.

Malware zamiast Battlefielda 6

Nowa odsłona serii pojawiła się w październiku i natychmiast wywołała bardzo duże zainteresowanie. Cyberprzestępcy wykorzystali ten moment, aby wrzucić do sieci rzekome cracki oraz instalatory, które są łatwo dostępne na stronach torrentowych i prostych do odnalezienia domenach z modyfikacjami do gier.

W celu uwiarygodnienia swoich działań, oszuści podszywają się pod znane grupy crackingowe np. InsaneRamZes czy RUNE. Ich nazwy pojawiają się w fałszywych crackach, chociaż pliki w praktyce z grą nie mają niczego wspólnego. Każdy z nich to dobrze przygotowana pułapka.

Jak działają cyberprzestępcy?

Największe zagrożenie to program udający instalator trainera. Wystarczy wpisać odpowiednie hasło w Google, a złośliwy plik pojawia się niemal natychmiast w wynikach wyszukiwania. Po uruchomieniu zaczyna błyskawicznie przeszukiwać komputer, zbierając informacje z przeglądarek, sesji logowania i rozszerzeń kryptowalutowych. Kradzione są dane portfeli, ciasteczka logowania czy tokeny sesji Discorda. Wszystko trafia na serwer przestępców przez niezabezpieczony kanał, bez żadnej próby ukrycia przesyłanych danych.

Drugi wariant jest bardziej zaawansowany. Złośliwy plik nie uruchamia się w systemach ustawionych na wybrane regiony (Rosja lub kraje byłego ZSRR), co jest popularnym zabiegiem wśród grup z tamtego obszaru. Malware ukrywa swoje funkcje, korzystając z hashowania API systemu Windows i próbuje wykryć środowiska testowe, analizując czas działania systemu.

Battlefield 6 przyciągnął nie tylko graczy, ale i przestępców

Co ciekawe, analiza pamięci ujawniła odniesienia do narzędzi wykorzystywanych przez programistów np. Postman, FastAPI czy BitBucket. Wskazuje to na to, iż cyberprzestępcy mogą próbować wykradać również dane projektowe, klucze API lub inne wrażliwe informacje wykorzystywane w środowiskach deweloperskich.

Trzecie zagrożenie przybiera postać rzekomego obrazu ISO gry. W rzeczywistości uruchamia rozbudowany plik wykonywalny, który instaluję bibliotekę DLL działającą jako agent command-and-control. Po cichu dodaje plik do katalogu użytkownika i uruchamia go przez narzędzie systemowe regsvr32.exe, co pozwala malware działać w tle bez wzbudzania żadnych podejrzeń.

Zainstalowana biblioteka wielokrotnie próbuje łączyć się z adresem należącym do infrastruktury Google. Może to być sposób na maskowanie komunikacji i ukrycie zdalnych operacji wykonywanych na zainfekowanym komputerze. Kod wskazuje na możliwość zdalnego sterowania systemem oraz pobierania z niego danych.

Zagrożonych może być wiele osób

Bitdefender ocenia, iż fałszywe wersje mogły już zostać pobrane przez setki użytkowników. Na stronach torrentowych widać aktywne seedy i leechery, co świadczy o dużej skali dystrybucji. Niektóre złośliwe pliki pojawiały się choćby bardzo wysoko w wynikach wyszukiwania Google, co zwiększa liczbę potencjalnych ofiar.

Eksperci podkreślają, iż żadna z odkrytych fałszywych wersji Battlefield 6 nie zawiera choćby fragmentu prawdziwej gry. Każda służy wyłącznie kradzieży danych lub przejęciu kontroli nad urządzeniem.

Źródło: Cyber Security News, Bitdefender, CyberDefence 24