Des mods de jeu malveillants ciblent les utilisateurs du jeu Dota 2

Un acteur menaçant a récemment téléchargé quatre "mods" contenant du code malveillant dans le catalogue de la boutique Steam officielle que les joueurs du jeu en ligne populaire Dota 2 utilisent pour télécharger des ajouts de jeux développés par la communauté et d'autres éléments personnalisés.

Les mods, abréviation de "modifications", offrent du contenu dans le jeu que les joueurs créent plutôt que les développeurs.

Les utilisateurs qui ont installé les mods se sont retrouvés avec une porte dérobée sur leurs systèmes que l'acteur de la menace a utilisée pour télécharger un exploit pour une vulnérabilité (CVE-2021-38003) dans la version du moteur JavaScript open source V8 présente dans un framework appelé Panorama que les joueurs utilisent pour développer des éléments personnalisés dans Dota 2.

Chercheurs d'Avast découvert le problème et l'a signalé à Valve, le développeur du jeu. Valve a immédiatement mis à jour le code du jeu vers une nouvelle version (correctionnée) de V8 et a supprimé les mods de jeu voyous de sa boutique en ligne Steam. La société de jeux - dont le portefeuille comprend Counter-Strike, Left 4 Dead et Day of Defeat - a également informé la petite poignée d'utilisateurs qui ont téléchargé la porte dérobée du problème et mis en œuvre "d'autres mesures" non spécifiées pour réduire la surface d'attaque de Dota 2, a déclaré Avast. .

Valve n'a pas immédiatement répondu à une demande de commentaire de Dark Reading.

Tirer parti des fonctionnalités de personnalisation de Dota 2

L'attaque découverte par Avast est quelque peu similaire dans son approche aux nombreux incidents où un acteur malveillant a téléchargé des applications malveillantes sur Google Play et l'App Store d'Apple, ou des blocs de code malveillants pour dépôts comme npm ou PyPI.

Dans ce cas, la personne qui a téléchargé le code sur le magasin Steam de Valve a profité du fait que Dota 2 permet aux joueurs de personnaliser le jeu de plusieurs façons. Le moteur de jeu de Dota donne à toute personne possédant même des compétences de base en programmation la possibilité de développer des éléments personnalisés tels que des appareils portables, des écrans de chargement, des émoticônes de chat et même des modes de jeu personnalisés entiers – ou de nouveaux jeux, a déclaré Avast. Ils peuvent ensuite télécharger ces éléments personnalisés sur le magasin Steam, qui vérifie les offres pour un contenu inapproprié, puis les publie pour que d'autres joueurs les téléchargent et les utilisent. 

Cependant, comme le processus de vérification de Steam est plus axé sur la modération que sur la sécurité, les mauvais acteurs peuvent introduire sans trop de problèmes du code malveillant dans le magasin, ont averti les chercheurs. "Nous pensons que le processus de vérification existe principalement pour des raisons de modération afin d'empêcher la publication de contenu inapproprié", selon le blog d'Avast. "Il existe de nombreuses façons de masquer une porte dérobée dans un mode de jeu, et il serait très long d'essayer de toutes les détecter lors de la vérification."

Boris Larin, chercheur principal en sécurité au sein de l'équipe mondiale de recherche et d'analyse de Kaspersky, déclare que même si les sociétés de jeux ne sont pas directement responsables du code malveillant intégré dans les modifications de tiers, des incidents comme ceux-ci nuisent toujours à la réputation de l'entreprise. Cela est particulièrement vrai lorsque les modifications sont distribuées via des référentiels spéciaux appartenant au développeur du jeu qui peuvent contenir des vulnérabilités.

"Dans ce cas particulier, la mise à jour rapide des composants tiers aurait aidé à protéger les joueurs", déclare Larin. "Les moteurs JavaScript et les navigateurs Web intégrés nécessitent également une attention particulière car ils contiennent souvent des vulnérabilités qui peuvent être exploitées pour l'exécution de code à distance."

L'industrie du jeu continue d'être une cible massive

L'incident de Valve est le dernier d'une série d'attaques qui ont ciblé les sociétés et les joueurs de jeux en ligne ces dernières années - et en particulier depuis l'épidémie de COVID-19, lorsque les mandats de distance sociale ont entraîné une augmentation des jeux en ligne. Début janvier, des attaquants ont pénétré dans les systèmes de Riot Games et a volé le code source de la société League of Legends et les jeux Teamfight Tactics. Les attaquants ont exigé 10 millions de dollars de Riot Games en échange de ne pas divulguer publiquement le code source. Lors d'un autre incident, un agresseur systèmes piratés chez Rockstar Games l'année dernière et a téléchargé les premières images de la prochaine version du jeu populaire Grand Theft Auto de la société.

Un rapport qu'Akamai a publié l'année dernière a montré une Augmentation de 167 % des attaques d'applications Web sur les comptes des joueurs et les sociétés de jeux l'année dernière. Une pluralité de ces attaques d'applications Web (38 %) impliquaient des attaques par inclusion de fichiers locaux ; 34 % étaient des attaques par injection SQL et 24 % impliquaient des scripts intersites. L'enquête d'Akamai a également montré que l'industrie du jeu représentait environ 37 % de toutes les attaques par déni de service distribué (DDoS), soit le double du deuxième secteur le plus ciblé.

Akamai, comme d'autres auparavant, a attribué l'intérêt majeur des attaquants pour les jeux à la nature très lucrative de l'industrie dans son ensemble et aux milliards de dollars que les utilisateurs dépensent via des microtransactions dans le jeu tout en jouant à des jeux. En 2022, PwC revenus de l'industrie du jeu à 235.7 milliards de dollars pour l'année. La société de conseil a estimé que les revenus de l'industrie augmenteront d'environ 8.4 % jusqu'en 2026 au moins.

Les attaques ont exercé une pression croissante sur les sociétés de jeux pour qu'elles intensifient leurs processus de sécurité. Les experts de l'industrie ont déjà noté comment les sociétés de jeux qui subissent des incidents de sécurité majeurs sont confrontées au risque de perdre la confiance et l'engagement des joueurs sur leurs plates-formes.

"Les sociétés de jeux devraient régulièrement mettre à jour et analyser leurs systèmes et utiliser un concept défensif complet qui équipe, informe et guide leur équipe dans leur lutte contre les cyberattaques les plus sophistiquées et les plus ciblées", déclare Larin.

"Tous les référentiels, qu'il s'agisse d'un magasin d'applications, d'un référentiel de packages open source ou même de référentiels de modifications de jeux, doivent être automatiquement vérifiés pour détecter tout contenu malveillant", déclare-t-il. Cela devrait inclure des vérifications statiques des fonctionnalités obscurcies ou dangereuses et une analyse avec un SDK de moteur antivirus, note-t-il.

Larin ajoute : "L'empoisonnement des référentiels de code open source s'est répandu ces dernières années et sa détection précoce peut prévenir des incidents plus importants."

• Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
• Platoblockchain. Intelligence métaverse Web3. Connaissance Amplifiée. Accéder ici.
• La source: https://www.darkreading.com/cloud/malicious-game-mods-target-dota-2-game-users