Modifikasi Game Dota 2 Berbahaya Menginfeksi Pemain Dengan Malware

Cyberthreat.id – Peneliti keamanan dari Avast Threat Labs menemukan empat mod game Dota 2 berbahaya yang digunakan oleh aktor ancaman untuk mem-backdoor sistem pemain.

Peneliti menyebutkan, penyerang tak dikenal membuat empat modifikasi game untuk video game arena pertempuran online multipemain Dota 2 yang sangat populer dan menerbitkannya di toko Steam untuk menargetkan penggemar game.

“Mode permainan ini diberi nama Overdog, tidak ada pahlawan yang mengganggu (id 2776998052), Custom Hero Brawl (id 2780728794), dan Overthrow RTZ Edition X10 XP (id 2780559339),” kata peneliti Avast, sesuai yang dikutip dari Bleeping Computer.

Peneliti menjelaskan, penyerang juga menyertakan file baru bernama evil.lua yang digunakan untuk menguji kemampuan eksekusi sisi server Lua. Cuplikan berbahaya ini dapat digunakan untuk mencatat, menjalankan perintah sistem arbitrer, membuat coroutine, dan membuat permintaan HTTP GET.

Sementara aktor ancaman membuatnya sangat mudah untuk mendeteksi backdoor yang dibundel dalam mode game pertama yang diterbitkan di Steam Store, dua puluh baris kode kode berbahaya yang disertakan dengan tiga mod game baru jauh lebih sulit dikenali. Backdoor tersebut memungkinkan aktor ancaman untuk menjalankan perintah dari jarak jauh pada perangkat yang terinfeksi, berpotensi memungkinkan penginstalan malware lebih lanjut pada perangkat.

“Pintu belakang ini mengizinkan eksekusi JavaScript apa pun yang diperoleh melalui HTTP, memberikan penyerang kekuatan untuk menyembunyikan dan memodifikasi kode eksploit sesuai kebijaksanaan mereka tanpa menjalani proses verifikasi mode permainan,” kata peneliti.

Kerentanan yang ditargetkan adalah CVE-2021-38003, sebuah kelemahan keamanan dengan keparahan tingkat keparahan tinggi di JavaScript V8 Google dan mesin WebAssembly yang dieksploitasi dalam serangan sebagai hari nol dan ditambal pada Oktober 2021. Eksploitasi JavaScript untuk CVE-2021-38003 disuntikkan dalam file resmi yang menambahkan fungsionalitas papan skor ke game yang kemungkinan akan membuatnya lebih sulit untuk dideteksi.

“Karena V8 tidak di-sandbox di Dota, eksploit itu sendiri memungkinkan eksekusi kode jarak jauh terhadap pemain Dota lainnya,” tambah peneliti.

Avast melaporkan temuan mereka ke Valve, pengembang game MOBA Dota 2, yang memperbarui versi rentan V8 pada 12 Januari 2023. Sebelumnya, Dota 2 menggunakan versi v8.dll yang disusun pada Desember 2018. Valve juga menghapus mod game jahat dan memperingatkan semua pemain yang terkena dampak serangan itu.

“Dengan satu atau lain cara, kami dapat mengatakan bahwa skala serangan ini tidak terlalu besar. Menurut Valve, kurang dari 200 pemain terpengaruh,” tambah Avast.

Pada bulan Januari, kerentanan eksekusi kode jarak jauh Grand Theft Auto Online juga dieksploitasi oleh pengembang cheat GTA Utara untuk memasukkan fungsi untuk melarang dan merusak akun pemain dalam versi yang dirilis pada 20 Januari 2023.

Pengembang cheat menghapus fitur dalam versi baru pada 21 Januari dan meminta maaf atas kekacauan yang disebabkan oleh pengguna cheat. Pengembang GTA, Rockstar Games, juga merilis pembaruan keamanan untuk mengatasi masalah Grand Theft Auto Online pada 2 Februari.