Battlefield 6 zaraża komputerom graczy. Bitdefender odkrył trzy rodzaje malware

Battlefield 6 zyskał sporą popularność, którą wykorzystują cyberprzestępcy. Jeżeli natrafiliście na ofertę, w ramach której rzekomo otrzymacie darmową kopię gry, to nie należy wierzyć w te propozycje, ponieważ można narobić sobie poważnych problemów.

Cyberprzestępcy wykorzystują pirackie kopie Battlefielda 6 do rozprzestrzeniania złośliwego oprogramowania. Ktoś zada pytanie, po co pobierać nielegalną kopię produkcji EA DICE skoro to gra sieciowa? Ma też kampanię single player, która przyciąga niektóre osoby nieplanujące ogrywać multiplayera. Oszuści stworzyli fałszywe wersje Battlefielda 6, które udostępniają poprzez torrenty oraz inne strony internetowe z pirackimi grami.

Battlefield 6 wykorzystany do rozprzestrzeniania wirusów

Oszuści, by się uwiarygodnić, podszywają się pod popularne grupy hakerskie m.in. InsaneRamZes czy RUNE. Przygotowano trzy różne rodzaje złośliwego oprogramowania, z których każdy ma inny cel. Niektóre malware służyły do kradzieży danych przeglądarek, informacji o portfelach kryptowalutowych, a także do uzyskiwania zdalnej kontroli nad zainfekowanymi systemami.

Inne złośliwe programy koncentrowały się na wykradaniu danych logowania do aplikacji m.in. Discorda czy portfeli kryptowalutowych, a także na analizowaniu aktywności użytkowników Chrome czy Firefoxa. Jak więc widzimy, zakres działania złośliwego oprogramowania jest spory, a dotyczy tylko jednej, popularnej gry. Za odkryciem tej kampanii stoją badacze cyberbezpieczeństwa z Bitdefender. Przeanalizowali oni te pliki i okazało się, iż żaden nie pozwalał na granie w Battlefielda 6.

Jeden z malware działał prosto i wykradał informacje, podszywając się pod instalator Battlefielda 6. Niestety strona, z której mogliśmy pobrać tego wirusa była bez problemu dostępna w wyszukiwarce Google, więc szansa, iż zostanie zainstalowany przez niczego nieświadomych graczy była bardzo duża.

Kradzież wrażliwych danych

Po uruchomieniu, złośliwe oprogramowanie skanowało lokalne foldery i profile przeglądarek, aby wykradać dane o portfelach kryptowalutowych, plikach cookie z przeglądarek Chrome, Edge i Firefox, informacje z aplikacji Discord, a także dane o portfelach kryptowalutowych przechowywanych we wtyczkach przeglądarek. Te dane były następnie wysyłane do serwera, gdzie były przechowywane bez żadnej formy szyfrowania.

Ewoluujące techniki obrony i zaawansowane funkcje

Drugi wariant malware, dystrybuowany jako „Battlefield 6.GOG-InsaneRamZes”, był znacznie bardziej zaawansowany. Zawierał funkcje blokujące uruchomienie w przypadku wykrycia ustawień regionalnych z Rosji lub krajów WNP. Narzędzie tosowało także techniki maskowania operacji poprzez wykorzystanie funkcji systemu Windows, co utrudniało jego wykrycie przez program antywirusowy.

Dodatkowo, analiza pamięci wskazała, że malware mógł być zaprojektowany z myślą o wykradaniu danych deweloperów, takich jak klucze API lub dane dostępowe do narzędzi deweloperskich.

Zdalne przejęcie kontroli i długoterminowe zagrożenia

Trzeci wariant złośliwego oprogramowania, który udawał obraz ISO Battlefield 6, instalował agenta zdalnego sterowania. Plik o rozmiarze 25 MB zawierał dane, które po rozpakowaniu tworzyły plik „2GreenYellow.dat” w katalogu użytkownika. Plik ten był uruchamiany za pomocą narzędzia regsvr32.exe, co umożliwiało przejęcie zdalnej kontroli nad systemem. Komunikacja z zainfekowaną maszyną odbywała się przez infrastrukturę Google, co stanowiło próbę ukrycia działania złośliwego oprogramowania.

Jak więc widzimy cyberprzestępcy nie próżnują, dlatego należy korzystać tylko z legalnych, oficjalnych platform z grami i stamtąd pobierać pliki nie tylko tej gry.