Bazı Oyun Modları ve Hileler Trojan Aracılığı ile Arka Kapı Açıyor

Yeni bir araştırmaya göre son dönemde öne çıkan bazı siber saldırılar, oyun modları ve hile motorlarının silaha dönüştürülmesini kapsıyor. Bu kapsamda bazı oyun araçlarında “cryptor” adı verilen ve tersine mühendislik güvenlik odağındaki tespiti önlemek için kullanılan bir kod kullandığı kaydediliyor. Çok sayıda kötü amaçlı dizin için kullanıldığı belirtilen kodun RATs  olarak bilinen Uzaktan Erişim Trojanlarını gizlediği belirtiliyor.

Cryptor kullanılarak düzenlenen saldırıların amacı, oyun severlerin ve mod düzenleyicilerin sistemlerine müdahale etmek olarak. Saldırının ilk safhası, tüketicileri sahte web sayfalarına yönlendirmek için kullanılan ve spam reklamları temsil eden “malvertising” ile başlıyor. Aynı zamanda, oyun modlama üzerine içerik sunan YouTube videolarında da sahte sayfalara yönlendirme yapıldığı ifade ediliyor.

Oyun hileleri ve modları için oldukça dinamik bir piyasa bulunduğu zaten biliniyor. Espor sektörünün verdiği güçle büyüyen oyun sanayisi, hile ve oyun modlarına ilgi duyan tüketicileri tuzağa düşürmek isteyen dolandırıcıların dikkatini çekmeye devam ediyor.

Geliştiricileri de kapsayan risk nedeniyle, oyun stüdyoları ürettikleri oyunları VirusTotal gibi platformlar sayesinde taramadan geçirme imkanı buluyor.

Güvenlik uzmanları, sistemlerde değişiklik yapan dosyaların indirilmesinin yeni bir tehdit olmadığını, en son saldırı kampanyasının da bu amaca hizmet ettiğini belirtti. Hileler, hile motorları ve modlarda bulunan crypto’ların RAT kodları ile arkakapıları çok tabakalı bir mimari altında gizlediğine işaret ediliyor. Kötü amaçlı bir mod veya hile indirildiği zaman, söz konusu yazılımın taşıyıcısı kodu hedef cihaza yüklüyor.

Sonuç: Virüs tarama programı ve tehdit tespit algoritmaları manipüle ediliyor.

Güvenlik sistemlerinin devre dışı bırakılmasının ardından, kötü amaçlı yazılım aktif hale geliyor. Şu ana kadar yapılan analizler, hedef cihazlara bilgi çalmak için kullanılan XtremeRAT yüklendiğini gösteriyor. Oltalama saldırılarının sonucunda Zeus kötü amaçlı yazılımının versiyonlarının da tespit edildiği not düşüldü.

Güvenlik uzmanları, siber suçluların kötü amaçlı yazılımları gizlemek için kullandığı cryptor’un Visual Basic 6’ya dayandığını belirtti. Yazılım sisteme sızmak için taşıyıcı görevi gören “shellcode” vazifesi görürken, sisteme sızmak için kullanılan yöntem sayesinde saldırıların kolayca tespit edilemediği detayı aktarıldı.