Šta se desilo?

Bezbednosni istraživači su otkrili 11 zlonamernih paketa u NuGet skladištu koji se izdaju za čitove, botove i upravljačke panele za popularne online igre. Nakon instalacije, ovi paketi potajno prikupljaju lične podatke, snimaju ekran žrtve i šalju sve informacije napadačima preko interneta.

Koga pogađa?

Igači koji igraju igre poput Albion Online, GTA5RP, GrandRP, Majestic RP i Throne and Liberty su direktno ugroženi. Zlonamerci ciljaju upravo igrače koji traže nelegalne modifikacije kako bi poboljšali svoje iskustvo u igri. Pošto se malver distribuira kroz javno dostupno skladište, potencijalno su riziku izloženi svi igrači koji preuzimaju čitove iz nepouzdanih izvora.

Kako se zaštititi?

  • Nikada ne preuzimaj čitove, botove ili modifikacije iz nepoznatih izvora - koristi samo zvanične kanale igara
  • Proveri reviews i povratne informacije pre nego što instaalijaš bilo koji softver iz javnih skladišta
  • Koristi dobar antivirusni program i održavaj ga ažuriranim
  • Redovno meni lozinke za važne naloge, posebno gaming i email profile
  • Omogući dvoFaktorsku autentifikaciju na svim važnim nalozima
  • Izbegavaj otvaranje lozinki, kriptovaluta ili drugih osjetljivih podataka dok igraš preuzeti softver
  • Ako si već instalirao sumnjive čitove - skenira sistem antivirusom i razmotri resetovanje Windows-a

Tehnički detalji

Kampanja koristi dvofazni napadni lanac. Prvi stadijum su .NET downloader alati koji se distribuiraju kao DotnetTool paketi. Oni preuzimaju drugi stadijum - Windows izvršnu datoteku imena pepesoft.exe. Malver koristi DNS-over-HTTPS protokol kako bi zaobišao lokalne DNS filtre. Deset od 11 uzoraka traži povišene privilegije preko UAC mehanizma. Druga verzija malvera koristi PyArmor zaštitu i Python bytecode. Svi paketi dele identične AWS kredencijale i mutex identifikatore. Malver prikuplja podatke kao što su hardware fingerprint, hostname, GPU/CPU modeli, IP lokacija i status aktivacije OS-a. Tri verzije paketa izlagaju integrovan game automation framework sa Telegram bot komandama koje omogućavaju neautentificiranom korisniku da aktivira snimanje ekrana.

Zašto je važno za region

U regionalnim zemljama - Srbiji, Hrvatska, BiH i drugim državama Zapadnog Balkana - online igranje je veoma popularno posebno među mlađom populacijom. Isti tip napada preko lažnih čitova i game modifikacija može jednostavno ciljati i lokalnu gaming zajednicu. Pošto se malver distribuira preko javnih, lako dostupnih skladišta, rizik je veoma opasan i lako dostiže igače bez obzira na njihovu geografsku lokaciju.

Preporuka Sajber Radara

Igačima saveto da budu izuzetno oprezni pri preuzimanju bilo kakvih modifikacija ili čitova za igre - legitimno rešenje je uvek da se koriste samo zvanični kanali. Preuzimanje softvera iz sumnjenih izvora je jedan od najčešćih puteva zaraze malverom koji može kompromitovati sve važne podatke na računaru.