Хотели «раздавать хедшоты» в Counter-Stike, а в итоге раздали все свои пароли
Рассказываем, как хакеры «наказывают» нечестных игроков.
Специалисты Acronis зафиксировали масштабную кампанию распространения вредоносного ПО через популярные площадки для разработчиков и игровые сообщества. Злоумышленники маскируют вредоносные файлы под «бесплатные читы» для видеоигр, привлекая аудиторию, готовую скачивать неофициальный софт ради преимущества в игре.
По данным команды Acronis Threat Research Unit, обнаружены сотни репозиториев на GitHub, через которые распространяются такие программы. Реальное количество может достигать тысяч — атакующие скрывают вредоносные ссылки за изображениями и перенаправляют пользователей через сторонние сайты, что усложняет обнаружение. Кампании охватывают практически все популярные онлайн-игры.
Основной вредонос в этих схемах — обновлённая версия инфостилера Vidar 2.0. Рост его популярности связывают с действиями правоохранительных органов против Lumma и Rhadamanthys. После частичного разрушения инфраструктуры этих семейств злоумышленники переключились на альтернативы, и Vidar быстро занял освободившуюся нишу.
Vidar 2.0 крадёт данные из браузеров, включая пароли, cookies и автозаполнение, а также токены Azure, содержимое криптокошельков, учётные данные FTP и SSH, информацию из Telegram и Discord и локальные файлы. Полученные данные используют или продают на теневых площадках.
Схема заражения строится вокруг доверия к легитимным платформам. На GitHub размещают страницы с описанием «читов», которые ведут на внешние сайты с загрузкой. Пользователю предлагают отключить защиту, распаковать архив с паролем и запустить файл с правами администратора. Вредонос часто маскируется под исполняемые файлы с игровыми названиями.
Отдельные кампании распространяются через Reddit. Публикации с предложением читов для Counter-Strike 2 ведут на сайты, где загружается архив с вредоносной нагрузкой. Внутри скрываются многоэтапные загрузчики, которые в итоге собирают и запускают Vidar 2.0.
Новая версия вредоносной программы получила серьёзные технические изменения. Разработчики переписали код с C++ на C, добавили полиморфизм и многопоточность, что ускоряет работу и затрудняет обнаружение. Вредонос использует обфускацию, проверяет наличие отладчиков и виртуальных сред, а управление инфраструктурой скрывает через Telegram и профили Steam.
Игроки становятся удобной целью. Читы скачивают из неофициальных источников, предупреждения безопасности игнорируют, а жалобы редко отправляют. При этом игровые аккаунты часто содержат ценные предметы и валюту, которые легко продать на серых рынках. Дополнительный риск связан с тем, что значительная часть аудитории — подростки.
Ситуация показывает, что даже крупные платформы могут использоваться для распространения вредоносного ПО, а закрытие одних групп быстро приводит к появлению новых инструментов и кампаний.