СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Реклама Политика ПДн
Отчеты
Технологии киберугроз
24.01.2025
#ИБ#Инфра#Облака

Рост угроз кибербезопасности в онлайн-играх: схема Catlavan

Рост угроз кибербезопасности в онлайн-играх: схема Catlavan

Изображение: mp.weixin.qq.com

С увеличением числа пользователей онлайн-игр наблюдается и рост теневой индустрии игровых плагинов и вспомогательных инструментов. В последние месяцы Центр анализа угроз облачной безопасности Tencent обратил внимание на тревожную тенденцию — использование троянских программ для распространения вредоносного ПО через игровые плагины.

Анализ угроз: запущенные атаки и их последствия

В 2024 году механизм обнаружения вредоносных файлов BinaryAI внедрил новый подход, применяя семантические технологии killing engine, основанные на больших моделях, для обеспечения сквозного обнаружения файлов. Одним из конкретных инцидентов стал случай с вредоносным ПО, нацеленным на русскоязычных пользователей game assistants, получивший название «Catlavan». Это бэкдор, обнаруженный в сжатом пакете, на момент оценки не был идентифицирован ни одним решением безопасности на VirusTotal.

Методы работы вредоносного ПО

Запуск «Catlavan» активирует последовательность действий, направленных на кражу пользовательской информации и передачу логов злоумышленнику через Telegram. Процесс происходит следующим образом:

  • Запуск интерфейса Telegram для отправки логов в заранее определенную учетную запись.
  • Использование поддельного сообщения об ошибке для того, чтобы пользователь нажал кнопку «ОК», что активирует передачу уведомления на удаленную учетную запись.
  • Сбор данных, перенаправление логов и создание zip-файла с содержимым рабочего стола.
  • Передача созданного zip-файла на удаленный SFTP-сервер с жестко заданными учетными данными.

Особое внимание стоит уделить тому, что учетные данные SFTP, включая имя хоста (SFTP_HOST = ‘93.185.157.131’), встроены в бэкдор.

Распространение атак

Дальнейшее расследование установило, что атака началась в декабре 2024 года. Хакеры распространили бэкдор, маскирующийся под игровую утилиту Minecraft, на форумах BBS и других платформах российского игрового сообщества.

Выводы и рекомендации

Сложный механизм работы вредоносного ПО подчеркивает растущую изощренность хакеров, нацелившихся на игровые площадки. Это указывает на острую необходимость внедрения надежных мер кибербезопасности для защиты пользователей от подобной угрозы:

  • Регулярное обновление антивирусного ПО.
  • Осторожность при загрузках программ из ненадежных источников.
  • Использование многофакторной аутентификации для повышения безопасности учетных записей.

Каждый пользователь онлайн-игр должен быть бдительным и принимать необходимые меры для защиты своей информации в условиях постоянно развивающейся киберугрозы.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: