Исследователи безопасности обнаружили четыре вредоносных игровых мода для Dota 2, которые использовались злоумышленниками для взлома систем игроков.
Как выяснили исследователи Avast Threat Labs, неизвестный пользователь создал четыре игровых модификации для популярной многопользовательской онлайн-игры Dota 2 и опубликовал их прямо в официальной мастерской Steam. Модификации были названы следующим образом:
Киберпреступник внедрил во все три мода файл бэкдора с названием «evil.lua». Он позволял автору модификаций удаленно выполнять команды на зараженных устройствах, что потенциально позволяло устанавливать на них дополнительные вредоносные программы.
«Этот бэкдор разрешает выполнение любого JavaScript-кода, полученного через HTTP, предоставляя злоумышленнику возможность скрывать и изменять код эксплойта по своему усмотрению без прохождения процесса проверки модификации», — сообщил исследователь Avast.
На взломанных системах игроков бэкдор также использовался для загрузки эксплойта Chrome. Он использовал для своей работы критическую уязвимость в JavaScript V8 и движке WebAssembly под идентификатором CVE-2021-38003. Примечательно, что эта уязвимость была исправлена ещё в октябре 2021 года, но в игре использовался более ранняя версия V8.
«Поскольку JavaScript V8 не был изолирован, эксплойт позволял удаленно выполнять код против других игроков Dota», — добавили в Avast.
Avast сообщила об уязвимости Valve, компании-разработчику Dota 2, которая обновила уязвимую версию V8 12 января 2023 года. До этого в игре использовалась v8.dll старой версии, выпущенной аж в декабре 2018 года. Неудивительно, что злоумышленник нашёл способ применить эксплойт. Valve оперативно удалила вредоносные игровые моды и предупредила всех игроков, пострадавших от атаки. Судя по данным компании, таких игроков было не более 200, что относительно немного, учитывая ежедневный охват в более полумиллиона человек.