Заряженные дистрибутивы компьютерных игр распространялись на торрентах начиная с сентября 2024 года. В список зараженных игр входили BeamNG.drive, Garry’s Mod, Dyson Sphere Program, Universe Sandbox и Plutocracy, причем, по данным «Лаборатории Касперского», наибольшее число заражений пришлось на игру BeamNG.drive. Большинство атак зафиксировано на пользователей из России, но инциденты наблюдались также в Беларуси, Казахстане, Германии и Бразилии. Целью этой разовой кампании были относительно мощные игровые компьютеры, на которые устанавливался майнер криптовалюты.
Исследование специалистов «Лаборатории Касперского» подробно разбирает каждый этап заражения. Кастомный установщик вместе с игрой устанавливает ряд вредоносных файлов. В определенный момент происходит обращение к командному серверу, на который передается информация о зараженной системе. На финальном этапе устанавливается модифицированный майнер XMRig, причем он вовсе не запускается, если, например, на компьютере обнаружено меньше восьми процессорных ядер. Пул для майнинга размещен в собственной инфраструктуре злоумышленников, а не в публичной.
Издание TechCrunch тем временем об успешной попытке распространения игры с вредоносным кодом через сервис Steam компании Valve. По данным издания, игра, известная как PirateFi, была построена на основе «конструктора» Easy Survival RPG, лицензия на который стоит от 400 до 1100 долларов и позволяет в кратчайшие сроки создать в целом работающий игровой продукт. Вместе с игрой пользователям доставлялась троянская программа Vidar, основной задачей которой была кража чувствительных данных: паролей из браузера, сессионных куки, данных для доступа к криптокошельку и прочего. Троянская игра в итоге была удалена из Steam, а пользователи, успевшие ее загрузить, получили от Valve с информацией о вероятном заражении вредоносным кодом.
Что еще произошло
Еще одна экспертов «Лаборатории Касперского» описывает случаи загрузки на сервис GitHub вредоносного кода под видом «полезных» инструментов (ботов для Telegram, утилит для взлома игр и прочего). Установка таких программ приводит к заражению системы и краже средств в криптовалюте.
Большое событие в сфере кибербезопасности — криптовалюты ETH на сумму, эквивалентную 1,46 миллиарда долларов из холодного кошелька биржи Bybit. Судя по всему, сложная атака с использованием методов социального инжиниринга. Атака была успешно проведена в отношении сотрудников биржи, имеющих доступ к офлайн-кошелькам. Финальный перевод средств для них выглядел как достаточно рутинная и легитимная операция по переводу средств, в то время как на самом деле это был перевод большой суммы злоумышленникам.
Компания Microsoft о новой версии троянской программы XCSSET, нацеленной на компьютеры под управлением macOS.
Издание BleepingComputer о довольно сложной атаке на пользователей PayPal. Атака начинается с получения легитимного сообщения от PayPal, в котором сообщается, что к учетной записи был добавлен новый адрес доставки. Вместе с адресом в письмо вставлено сообщение якобы о покупке дорогого ноутбука MacBook с предложением позвонить в службу поддержки PayPal «в случае проблем». Позвонившим по телефону в итоге устанавливают на компьютер программу для удаленного контроля. Мошенническая атака стала возможной благодаря фиче PayPal, позволяющей добавить новый адрес доставки с совершенно произвольным текстом. Адрес добавляется для одного аккаунта PayPal, но подтверждение отправляется на электронную почту, где, в свою очередь, настроено перенаправление всех входящих писем по большому списку адресатов. Так обеспечивается массовая рассылка письма, выглядящего как легитимное сообщение от сервиса PayPal.
