Des cheats de Call of Duty exposent les joueurs aux malwares

0

Activision, la société derrière Call of Duty: Warzone, a averti qu’un pirate informatique utilise des annonces publicitaires pour les outils de triche qui sont en fait des chevaux de Troie d’accès à distance .

L’escroquerie a été lancé pour la première fois en Mars quand un cyber-attaquant a posté dans les forums de piratage qu’il avait une méthode gratuite pour diffuser un outil d’accès distance: « Convaincre les victimes que le malware est un cheat de jeu vidéo, » a déclaré Activision dans son avis.

« Il est pratique courante lors de la configuration d’un programme de triche de l’exécuter avec les privilèges système les plus élevés, » a signalé Activision. « Les guides pour les tricheurs demandent généralement aux utilisateurs de désactiver ou de désinstaller les logiciels antivirus et les pare-feu d’hôte, désactiver la signature de code de noyau, etc… »

À l’époque, le pirate informatique a également posté le fichier malware pour mettre en place l’attaque, qui a reçu plus de 10 000 vues et 260 réponses, a ajouté Activision. Le communiqué a été suivi d’instructions supplémentaires dans les commentaires et partagé un lien d’une explication vidéo sur YouTube, qui a accumulé 5000 vues, explique le rapport.

Le dropper COD(Call Of Duty)

C’était la première fois que les chercheurs étaient en mesure d’identifier le malware, qu’ils ont appelé « COD-Dropper v0.1 ».

« Au lieu de passer des heures de travail à créer des contournements de mitigation compliqués ou de tirer parti des exploits existants – ils peuvent plutôt travailler à créer des publicités convaincantes pour des cheats, qui pourrait potentiellement attirer une certaine attention si le prix est compétitif », a ajouté le rapport d’Activision. « En Décembre 2020, le dropper a également été inclus dans un tutoriel visant les amateurs qui cherchent à faire de l’argent facile. »

Le rapport souligne que la plupart des forums de cheats essaye de bloquer tout ce qui ne semble pas authentique, ce qui signifie que le pirate informatique doit garder un profil bas pour empêcher de se faire éjecter.

Call of Duty
Source: Activision

Cette publicité ne semblait pas être particulièrement intelligente ou très élaborée, mais des gens y ont répondu, demandant si quelqu’un l’avait essayé avant qu’elle ne soit retiré un jour plus tard, dit le rapport.

La même annonce a surgi de nouveau sur les forums et a été vu par Activision pour la dernière fois le 1er Mars. Et une vidéo YouTube promettant un cheat « non détecté » pour Call Of Duty: Warzone a des instructions détaillées sur la façon de désactiver les logiciels antivirus et exécuter le programme en tant qu’administrateur – donnant au malware un accès complet au système de la victime.

« Dans probablement une autre tentative d’arnaquer les gens, la description a également offert une version privée du cheat pour un paiement de 10$ en bitcoin, » a ajouté le rapport.

call of duty
Source: Activision

Les commentaires montrent que les gens ont essayé de télécharger l’outil.

Une autre vidéo YouTube propageant le même malware est apparu en Août dernier, avec un lien direct pour infecter l’utilisateur. Cette idéo avait reçu 376 vues.

Activision a souligné que pousser les joueurs à télécharger le logiciel n’est pas une chose difficile.

« Bien que cette méthode soit plutôt simpliste, il s’agit en fin de compte d’une technique d’ingénierie sociale qui tire parti de la volonté de sa cible (les joueurs qui veulent tricher) d’abaisser volontairement leurs protections de sécurité et d’ignorer les avertissements sur l’exécution de logiciels potentiellement malveillants », a ajouté Activision.

Un dropper malveillant

Activision a expliqué que le malware est un outil d’accès à distance qui donne à un attaquant un accès complet à la machine de la victime, mais c’est aussi un dropper, qui peut être personnalisé pour installer d’autres code malveillants sur les ordinateurs des victimes. Le dropper observé dans cette attaque est une application .NET qui, après téléchargement demandera à la cible d’accepter de donner des privilèges de niveau administrateur.

call of duty

« Une fois que la charge utile a été enregistrée sur le disque, l’application crée un VBScript nommé « CheatEngine.vbs », selon le rapport. « Il commence alors le processus « CheatEngine.exe » et supprime l’exécutable « CheatEngine.exe ». Le créateur/générateur est un exécutable .NET qui contient le dropper .NET comme objet ressource. »

Une fois que la victime clique sur « :: Build ::, l’application inspecte l’objet ‘COD_bin’ avec la librairie d’assemblage ‘dnlib’ de .NET, elle remplace l’URL en place nommée ‘[[URL]’ avec l’URL fournie et enregistre la ressource ‘COD_bin’ sous un nouveau nom de fichier », selon l’analyse.

Le secteur des jeux vidéos est ciblé

Le secteur des jeux vidéos continue d’être une cible pour les pirates informatiques qui veulent se faire de l’argent. Kaspersky a constaté dans une étude en 2020 que plus de 61% des joueurs ont déclaré avoir été ciblés par une sorte d’escroquerie, y compris le vol d’identité.

La sortie de Cyberpunk 2077 à la fin de l’année 2020 a été ravagée par des pépins et une attaque de ransomware. Et en Février, les attaquants ont annoncé qu’ils étaient prêts à organiser une vente aux enchères pour le code source de Cyberpunk 2077 et la version inédite du jeu Witcher 3, pour une offre d’ouverture de 1 million de dollars. Il n’est pas clair si la menace était réelle ou un bluff pour forcer CD Projekt Red(les développeurs du jeu) à payer sa rançon.

En Janvier, plus de 500 000 informations de comptes internes de société de jeux étaient en vente sur le dark web. Toujours dans le même mois, Capcom, le développeur de Resident Evil, Street Fighter et Dark Stalkers a été piraté, exposant les données de plus de 400 000 utilisateurs.

« L’industrie du jeu vidéo est une cible populaire pour divers pirate informatique », a déclaré Activision. « Les joueurs ainsi que les studios et les éditeurs eux-mêmes sont les cibles de cyberattaques opportunistes – les tactiques vont de l’exploitation de faux API de jeux mobiles populaires à des comptes compromis pour la revente.

Laisser un commentaire