Вместо ответов на свои тикеты геймеры получают письма с инфостилером RedLine.
Все началось вчера, когда клиенты 2K начали получать электронные письма, в которых говорилось, что они отправили запрос в службу поддержки на сайте 2ksupport.zendesk.com, системе онлайн-поддержки 2K. Как выяснилось из сообщений в Twitter и Reddit, многие пользователи не отправляли никаких запросов.
Вскоре после первого письма геймерам пришло еще одно, содержащее ответ на их “тикет” от работника службы поддержки 2K под никнеймом “Prince K”. Помимо ответа на несуществующий тикет, письмо содержит ZIP-архив под названием “2K Launcher”, выдающий себя за новый лаунчер для игр от 2K.
Письма от “поддержки 2K” с инфостилером RedLine.
Исследователи проанализировали содержимое архива. В нем содержится исполняемый файл под названием “2K Launcher.exe”, и по его описанию видно, что он точно не принадлежит 2K. Например, у него нет цифровой подписи компании, установлено имя “Plumy” и описание файла “5K Player”.
Свойства файла вредоносного файла.
Согласно данным VirusTotal и Any.Run, этот исполняемый файл является инфостилером RedLine – одной из самых распространенных вредоносных программ, продаваемой на рынках и хакерских форумах в дарквебе.
Папки с данными, на которые нацелен вредонос.
Всем геймерам, скачавшим фейковый лаунчер 2K, специалисты советуют немедленно просканировать ПК с помощью антивирусного ПО. Кроме того, крайне рекомендуется сменить пароли на всех сайтах.
Одно найти легче, чем другое. Спойлер: это не темная материя