Mod di gioco dannose prendono di mira gli utenti di Dota 2 Game

Un autore di minacce ha recentemente caricato nel catalogo del negozio Steam ufficiale quattro "mod" contenenti codice dannoso che i giocatori del popolare gioco online Dota 2 utilizzano per scaricare aggiunte di gioco sviluppate dalla comunità e altri oggetti personalizzati.

Le mod, abbreviazione di "modifiche", offrono contenuti di gioco creati dai giocatori anziché dagli sviluppatori.

Gli utenti che hanno installato le mod si sono ritrovati con una backdoor sui loro sistemi che l'autore della minaccia ha utilizzato per scaricare un exploit per una vulnerabilità (CVE-2021-38003) nella versione del motore JavaScript open source V8 presente in un framework chiamato Panorama che i giocatori utilizzano per sviluppare oggetti personalizzati in Dota 2.

Ricercatori di Avast scoperto il problema e lo ha segnalato a Valve, lo sviluppatore del gioco. Valve ha immediatamente aggiornato il codice del gioco a una nuova versione (con patch) di V8 e ha rimosso le mod del gioco canaglia dal suo negozio online Steam. La società di gioco, il cui portafoglio comprende Counter-Strike, Left 4 Dead e Day of Defeat, ha anche informato il piccolo gruppo di utenti che hanno scaricato la backdoor del problema e ha implementato "altre misure" non specificate per ridurre la superficie di attacco di Dota 2, ha affermato Avast. .

Valve non ha risposto immediatamente a una richiesta di commento di Dark Reading.

Sfruttare le funzionalità di personalizzazione di Dota 2

L'attacco scoperto da Avast è in qualche modo simile nell'approccio ai numerosi incidenti in cui un autore di minacce ha caricato applicazioni dannose Google Play e l'App Store di Apple o blocchi di codice dannoso repository come npm o PyPI.

In questo caso, la persona che ha caricato il codice sul negozio Steam di Valve ha approfittato del fatto che Dota 2 consente ai giocatori di personalizzare il gioco in molti modi. Il motore di gioco di Dota offre a chiunque abbia competenze di programmazione anche di base la possibilità di sviluppare oggetti personalizzati come dispositivi indossabili, schermate di caricamento, emoji di chat e persino intere modalità di gioco personalizzate - o nuovi giochi, ha affermato Avast. Possono quindi caricare gli elementi personalizzati nel negozio Steam, che esamina le offerte per individuare contenuti non idonei, quindi li pubblica affinché altri giocatori possano scaricarli e utilizzarli. 

Tuttavia, poiché il processo di verifica di Steam è più focalizzato sulla moderazione che sulla sicurezza, i malintenzionati possono introdurre codice dannoso nel negozio senza troppi problemi, hanno avvertito i ricercatori. "Riteniamo che il processo di verifica esista principalmente per ragioni di moderazione per impedire la pubblicazione di contenuti inappropriati", secondo il post sul blog di Avast. "Esistono molti modi per nascondere una backdoor all'interno di una modalità di gioco e tentare di rilevarli tutti durante la verifica richiederebbe molto tempo."

Boris Larin, capo ricercatore sulla sicurezza presso il team di ricerca e analisi globale di Kaspersky, afferma che sebbene le società di giochi non siano direttamente responsabili del codice dannoso incorporato nelle modifiche di terze parti, incidenti come questi danneggiano comunque la reputazione dell'azienda. Ciò è particolarmente vero quando le modifiche vengono distribuite tramite repository speciali di proprietà dello sviluppatore del gioco che potrebbero contenere vulnerabilità.

"In questo caso particolare, l'aggiornamento tempestivo dei componenti di terze parti avrebbe aiutato a proteggere i giocatori", afferma Larin. "Anche i motori JavaScript e i browser Web integrati richiedono un'attenzione particolare poiché spesso contengono vulnerabilità che possono essere sfruttate per l'esecuzione di codice in modalità remota."

L’industria dei giochi continua a essere un bersaglio enorme

L’incidente di Valve è l’ultimo di una serie di attacchi che hanno preso di mira società e giocatori di gioco online negli ultimi anni – e soprattutto dopo l’epidemia di COVID-19, quando i requisiti di distanza sociale hanno portato a un’impennata dei giochi online. All'inizio di gennaio, gli aggressori hanno fatto irruzione nei sistemi di Riot Games e ha rubato il codice sorgente per League of Legends dell'azienda e giochi di tattica di squadra. Gli aggressori hanno chiesto 10 milioni di dollari a Riot Games in cambio della mancata divulgazione pubblica del codice sorgente. In un altro incidente, un aggressore sistemi violati presso Rockstar Games l'anno scorso e ho scaricato i primi filmati della prossima versione del popolare gioco Grand Theft Auto dell'azienda.

Un rapporto pubblicato da Akamai lo scorso anno ha mostrato che a Aumento del 167% degli attacchi alle applicazioni Web sui conti dei giocatori e sulle società di gioco lo scorso anno. Una pluralità di questi attacchi alle applicazioni Web (il 38%) ha coinvolto attacchi di inclusione di file locali; Il 34% erano attacchi SQL injection e il 24% coinvolgeva cross-site scripting. L'indagine di Akamai ha inoltre dimostrato che il settore dei giochi rappresenta circa il 37% di tutti gli attacchi DDoS (Distributed Denial of Service), ovvero il doppio di quello del secondo settore più preso di mira.

Akamai, come altri in precedenza, ha attribuito il maggiore interesse degli aggressori nei confronti dei giochi alla natura altamente redditizia del settore nel suo insieme e ai miliardi di dollari che gli utenti spendono tramite microtransazioni in-game mentre giocano. Nel 2022, PwC ha fissato i ricavi del settore dei giochi a 235.7 miliardi di dollari per l'anno. La società di consulenza stima che i ricavi del settore cresceranno di circa l’8.4% almeno fino al 2026.

Gli attacchi hanno esercitato una pressione crescente sulle società di gioco affinché intensifichino i loro processi di sicurezza. Gli esperti del settore hanno già notato in precedenza come le società di gioco che subiscono gravi incidenti di sicurezza corrono il rischio di perdere la fiducia e il coinvolgimento dei giocatori sulle loro piattaforme.

"Le società di gioco dovrebbero aggiornare e scansionare regolarmente i propri sistemi e utilizzare un concetto difensivo completo che equipaggi, informi e guidi il proprio team nella lotta contro gli attacchi informatici più sofisticati e mirati", afferma Larin.

"Tutti i repository, siano essi un app store, un repository di pacchetti open source o anche repository di modifiche di giochi, dovrebbero essere automaticamente controllati per verificare la presenza di contenuti dannosi", afferma. Ciò dovrebbe includere controlli statici per funzionalità offuscate o pericolose e la scansione con un SDK del motore antivirus, osserva.

Larin aggiunge: “L’avvelenamento da repository di codice open source è diventato più diffuso negli ultimi anni e il suo rilevamento tempestivo può prevenire incidenti più grandi”.

• Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
• Platoblockchain. Web3 Metaverse Intelligence. Conoscenza amplificata. Accedi qui.
• Fonte: https://www.darkreading.com/cloud/malicious-game-mods-target-dota-2-game-users