Buzz
Counter-Strike 1.6 đã bước qua 20 năm, vẫn giữ được cộng đồng game thủ mạnh mẽ và chiếm lĩnh thị trường máy chủ game. Nhờ vào sức hấp dẫn này, các dịch vụ cung cấp máy chủ game đang trở nên phổ biến hơn, kèm theo đó là các dịch vụ quảng cáo máy chủ game để thúc đẩy sự phổ biến của trò chơi.
Trong bản báo cáo mới nhất từ Dr. Web, nhóm nghiên cứu mô tả cách một nhà phát triển tận dụng lỗ hổng trong game client, sử dụng botnet Trojan Belonard và máy chủ độc hại để quảng cáo máy chủ game. Đồng thời, họ mở rộng botnet bằng cách thêm nạn nhân mới.
Khi đạt đến đỉnh cao, botnet này mở rộng đến mức chiếm khoảng 39% trong tổng số 5.000 máy chủ Counter Strike 1.6, chúng thực sự là những máy chủ độc hại và đang cố gắng lây nhiễm cho những người chơi đang kết nối.
'Bằng cách sử dụng mô hình này, nhà phát triển Trojan đã tạo ra một botnet chiếm một phần quan trọng trong số máy chủ game CS 1.6', theo như mô tả của các chuyên gia từ Dr.Web. 'Dựa trên phân tích của chúng tôi, trong tổng số 5.000 máy chủ từ máy khách Steam, có đến 1.951 máy chủ được tạo ra bởi Trojan Belonard, chiếm khoảng 39% trong tổng số máy chủ game. Quy mô của mạng lưới này cho phép nhà phát triển Trojan quảng cáo các máy chủ khác để kiếm tiền, đồng thời thêm chúng vào danh sách máy chủ không khả dụng trong những máy khách đã bị nhiễm'.
Trojan Belonard
Để quảng cáo máy chủ của khách hàng, nhà phát triển với biệt danh Belonard đã tạo ra những máy chủ độc hại. Khi kết nối với máy khách Counter-Strike 1.6, chúng sẽ lây nhiễm cho người chơi thông qua Trojan Belonard.
Để thực hiện điều này, botnet Belonard tận dụng máy khách bị nhiễm trước đó hoặc thực hiện lỗ hổng từ xa trong các máy khách chưa nhiễm, cho phép chúng cài đặt Trojan khi người chơi truy cập các máy chủ độc hại. Với việc game client Counter Strike 1.6 không còn được hỗ trợ, tất cả người chơi game đều trở thành những nạn nhân tiềm ẩn của botnet.
'Chúng ta sẽ đào sâu vào quá trình lây nhiễm cho một máy khách. Người chơi khởi chạy ứng dụng Steam và chọn một máy chủ game. Khi kết nối với máy chủ độc hại, botnet sẽ tận dụng lỗ hổng RCE, tải các thư viện độc hại lên thiết bị của nạn nhân. Tùy thuộc vào loại lỗ hổng, một trong hai thư viện sẽ được tải xuống và thực thi là client.dll (Trojan.Belonard.1) hoặc Mssv24.asi (Trojan.Belonard.5)'.
Dưới đây là hình ảnh minh họa cách Belonard hoạt động:
Sau khi được cài đặt, Trojan tạo ra dịch vụ Windows có tên Windows DHCP Service và sử dụng giá trị ServiceDLL để tải Trojan Belonard lưu trữ trong C:\Windows\System32\WinDHCP.dll.
Tiếp theo, Trojan sẽ thay thế các tập tin trong ứng dụng khách, không chỉ quảng cáo trang web của kẻ tấn công, nơi game client bị nhiễm được tải về mà còn quảng cáo máy chủ game giả mạo.
Nếu người chơi cố gắng tham gia các máy chủ này, họ sẽ bị chuyển hướng đến máy chủ game độc hại sử dụng lỗ hổng RCE để lây nhiễm cho nạn nhân thông qua Trojan Belonard.
'Khi người chơi bắt đầu chơi game, nickname của họ sẽ được thay đổi thành địa chỉ trang web nơi game client bị nhiễm có thể được tải xuống, trong khi menu game sẽ hiển thị liên kết đến cộng đồng VKontakte CS 1.6 với hơn 11.500 người đăng ký'.
Ngừng Botnet
Sau khi hợp tác với công ty đăng ký tên miền REG.ru, nhóm nghiên cứu của Dr. Web đã thành công trong việc ngăn chặn các tên miền được Trojan sử dụng để chuyển hướng người dùng đến các máy chủ game giả mạo, từ đó bảo vệ người chơi mới khỏi rủi ro bị nhiễm.
Bên cạnh đó, các nhà nghiên cứu đang liên tục theo dõi các tên miền khác mà phần mềm độc hại, có tên Domain Generation Algorithm (DGA), sử dụng để đảm bảo an toàn cho người dùng.
Rất tiếc là cho đến thời điểm hiện tại, phương pháp duy nhất để ngăn chặn botnet này là bằng cách vá các lỗ hổng trên máy khách. Với Counter-Strike 1.6 là game client cuối cùng mà Valve đã phát hành, khả năng cao là sẽ không có bản vá lỗi mới.
Để tránh rủi ro từ các mối đe dọa, nếu bạn là người chơi game, hãy ngay lúc này tải và cài đặt một phần mềm diệt virus chất lượng cao như BKAV, KIS và AVAST.
Hiện nay, các game thủ đã có một ứng dụng mới để nâng cao chất lượng sóng wifi trong phòng, đó là ứng dụng Virgin Media Connect. Để biết thêm thông tin chi tiết, bạn có thể đọc bài viết Virgin Media phát hành Intelligent WiFi và ứng dụng Connect tại đây.
