Videospiel-Cheat-Mod-Malware demonstriert Risiken nicht lizenzierter Software

Cyber Security News

Activision berichtet, dass ein Bedrohungsakteur in Hackerforen auf YouTube Beiträge gefunden hat, in denen er einen Remote Access Trojaner anpreist, der in Cheat-Mods für Spiele wie Call of Duty eingebettet werden kann. (Bild aus der Activision-Pressemappe.)

Man sagt, dass Betrüger niemals Erfolg haben, und neue Sicherheitsuntersuchungen zeigen, dass böswillige Hacker ihren Teil dazu beitragen, dass diese Binsenweisheit für skrupellose Spieler wahr wird, einschließlich derer, die trojanisierte Videospiel-Cheat-Mods auf ihre Arbeitsgeräte herunterladen.

Viele der harten Lektionen, die diese Gamer lernen, gelten auch für Computerbenutzer, die raubkopierte, geknackte oder modifizierte Business-Software auf ihre Geräte herunterladen.

Cisco Talos-Forscher haben eine jahrelange Hacking-Kampagne identifiziert, die auf Mods abzielt, die von PC-Spielern heruntergeladen und installiert wurden, um die Regeln der Spielphysik zu umgehen und der Konkurrenz einen Schritt voraus zu sein. Die Angreifer verwendeten einen neuen Kryptor, um den Malware-Code, den sie in scheinbar legitimen Dateien versteckten, zu verschleiern und die Erkennung durch Antivirensoftware zu umgehen.

In der Spielebranche ist es üblich, dass Spielergemeinschaften den Code in der “Vanilla”- oder Basisversion ihrer Lieblingsvideospiele verändern oder umprogrammieren, um die Physik-Engine zu optimieren, Umgebungen neu zu gestalten und auf andere Weise die etablierten Regeln der Spielwelt zu brechen, um einen Wettbewerbsvorteil zu erlangen. Diese Mods werden dann online angeboten oder verkauft, wobei die Spieler oft über “How-to”-Videos auf YouTubes stolpern, die zu beliebten Spielmods verlinken und Anleitungen für deren Installation enthalten.

Diese Programme sind oft mit Malware gespickt, und der Cisco Talos-Sicherheitsforscher Holger Unterbrink sagte in einem Interview mit SC Media, dass die Angreifer in dieser Kampagne eine Reihe von Remote Access Trojanern und andere Formen von Malware, wie Passwort- und Informationsdiebe, einsetzten, um ahnungslose Opfer zu infizieren.

Während es wahrscheinlich ist, dass mehr als nur ein paar freche Teenager in die Kampagne hineingezogen wurden, merkt Talos an, dass die Kampagne eine legitime Sicherheitsbedrohung für Unternehmen darstellt, wenn ihre Mitarbeiter auf ihren Arbeitsgeräten Geschäft und Vergnügen vermischen.

Unterbrink sagte, dass die Popularität von Videospiel-Mods für Malware im Laufe der Zeit abnimmt, aber dass er einen Anstieg des Volumens und der Menge an Malware in den Spiel-Mods bemerkt hat, die er kürzlich untersucht hat. Videospiel-Cheater können ein attraktives Ziel für Hacker sein, da sie bereits ihre Bereitschaft gezeigt haben, Regeln zu brechen, und vielleicht eher bereit sind, Risiken einzugehen oder Programme aus fragwürdigen Quellen herunterzuladen.

Während er hofft, mehr harte Daten über das Volumen und die Prävalenz solcher Angriffe zu sammeln, sagte Unterbrink, dass er vermutet, dass die erhöhte Aktivität, die er gesehen hat, mit dem Ausbruch der Coronavirus-Pandemie im vergangenen Jahr zusammenhängt.

“Ich denke, die Kernaussage ist definitiv, dank COVID und der dramatischen Zunahme von Menschen, die von zu Hause aus arbeiten, dass die Leute sich auf PCs mit dieser Art von Malware infizieren … und sich dann mit einem infizierten Rechner in ihre Unternehmensnetzwerke einwählen”, sagte Unterbrink.

Die Untersuchung von Cisco Talos kommt in der gleichen Woche, in der der Spielegigant Activision einen eigenen Bericht veröffentlicht hat, in dem sehr ähnliche Aktivitäten beschrieben werden, die seine Call of Duty-Reihe betreffen. Das Unternehmen fand in Hackerforen und auf YouTube erst im April 2021 Postings eines ungenannten Bedrohungsakteurs, in denen er einen Remote Access Trojaner anpries und vorschlug, dass der beste Weg zur Verbreitung darin besteht, ihn als Cheat-Mod zu bewerben und detaillierte Anweisungen anzubieten, die es “selbst unbedarften Bedrohungsakteuren ermöglichen, eine Schritt-für-Schritt-Anleitung für die Nutzung dieser Technik gegen ahnungslose Cheat-Sucher zu erhalten”.

Dieser Ansatz hat zwei Hauptvorteile. Erstens bietet er einen plausiblen Vorwand, um Benutzer dazu zu drängen, ihre Antivirensoftware zu deaktivieren, da dies oft der erste Schritt zur Installation eines Cheat-Mods ist. Zweitens wird ein großer Teil der Arbeit, die bei einer Hacking-Operation anfällt, durch einen einfachen und geradlinigen Social-Engineering-Ansatz ersetzt. Für den gefälschten Call-of-Duty-Cheat schien die Werbung “nicht besonders clever zu sein oder viel Aufwand zu erfordern” und erhielt dennoch viel Engagement von Benutzern, die sich für den Mod interessierten.

“Anstatt dass böswillige Akteure stundenlange Arbeit in die Erstellung komplizierter Umgehungsmaßnahmen stecken oder bestehende Exploits ausnutzen, können sie stattdessen daran arbeiten, überzeugende Cheat-Werbungen zu erstellen, die, wenn sie preislich konkurrenzfähig sind, potenziell etwas Aufmerksamkeit erregen könnten”, schrieb Activision.

Es sind nicht nur Videospiele, die eine Bedrohung für Unternehmensnetzwerke darstellen. Jede Art von raubkopierter, gecrackter oder modifizierter Software leidet unter vielen der gleichen allgemeinen Risiken und Bedrohungen. Letztes Jahr identifizierten die Forscher von Cybereason eine Kampagne von Hackern, die Schwachstellen in der Speicherplattform von BitBucket ausnutzten, um Malware zu aktualisieren und Benutzer zu infizieren, die gecrackte oder raubkopierte Versionen von kommerziell erhältlicher Software wie Microsoft Word und Adobe Photoshop heruntergeladen hatten.

Unterbrink sagte, dass die Bedrohung von Unternehmen durch nicht lizenzierte, mit Malware versehene Versionen kommerzieller Software ernst ist, sowohl wegen des potenziellen Schadens an Arbeitssystemen und Netzwerken als auch wegen der mangelnden Transparenz, die Unternehmen darüber haben, was ihre Mitarbeiter herunterladen und installieren.

Einige Unternehmen haben sehr strenge Richtlinien und Überwachungen, was die Installation von nicht lizenzierter Software auf Arbeitsgeräten angeht, während andere eher lockere Regeln und Verfahren haben. Das bedeutet, dass es wahrscheinlich eine Reihe von Unternehmen gibt, die von einem Angriff mit modifizierter Software betroffen sind und sich dessen nicht bewusst sind.

“Ich denke, Unternehmensnetzwerke und Unternehmen müssen sich dessen wirklich bewusst sein”, sagte Unterbrink. “Es ist gut möglich, dass sich jemand mit einem infizierten Rechner in ihr Netzwerk einklinkt.”

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com