Peneliti keamanan telah menemukan 4 mode permainan Dota 2 yang berbahaya kemudian digunakan oleh aktor ancaman untuk backdoor sistem pemain.
Penyerang yang tidak dikenal itu menciptakan 4 mode permainan untuk video game arena pertempuran online multipemain Dota 2 yang sangat populer dan menerbitkannya di toko Steam untuk menargetkan penggemar game tersebut, seperti yang ditemukan oleh para peneliti Avast Threat Labs.
.
"Mode permainan ini diberi nama Overdog no annoying heroes (id 2776998052), Custom Hero Brawl (id 2780728794), dan Overthrow RTZ Edition X10 XP (id 2780559339)," kata peneliti malware Avast Jan Vojtěšek. Penyerang juga menyertakan file baru bernama evil.lua yang digunakan untuk menguji kemampuan eksekusi Lua sisi server. Cuplikan berbahaya ini dapat digunakan untuk logging, menjalankan perintah sistem arbitrer, membuat coroutine, dan membuat permintaan HTTP GET. Sementara aktor ancaman membuatnya sangat mudah untuk mendeteksi backdoor yang dibundel dalam mode permainan pertama yang diterbitkan di Steam Store, dua puluh baris kode berbahaya yang disertakan dengan tiga mode permainan yang lebih baru jauh lebih sulit dikenali.
.
Penyerang yang tidak dikenal itu menciptakan 4 mode permainan untuk video game arena pertempuran online multipemain Dota 2 yang sangat populer dan menerbitkannya di toko Steam untuk menargetkan penggemar game tersebut, seperti yang ditemukan oleh para peneliti Avast Threat Labs.
.
"Mode permainan ini diberi nama Overdog no annoying heroes (id 2776998052), Custom Hero Brawl (id 2780728794), dan Overthrow RTZ Edition X10 XP (id 2780559339)," kata peneliti malware Avast Jan Vojtěšek. Penyerang juga menyertakan file baru bernama evil.lua yang digunakan untuk menguji kemampuan eksekusi Lua sisi server. Cuplikan berbahaya ini dapat digunakan untuk logging, menjalankan perintah sistem arbitrer, membuat coroutine, dan membuat permintaan HTTP GET. Sementara aktor ancaman membuatnya sangat mudah untuk mendeteksi backdoor yang dibundel dalam mode permainan pertama yang diterbitkan di Steam Store, dua puluh baris kode berbahaya yang disertakan dengan tiga mode permainan yang lebih baru jauh lebih sulit dikenali.
.
Backdoor memungkinkan aktor ancaman untuk menjalankan perintah dari jarak jauh pada perangkat yang terinfeksi, berpotensi memungkinkan pemasangan malware lebih lanjut pada perangkat. "Backdoor ini memungkinkan eksekusi JavaScript apa pun yang diperoleh melalui HTTP, memberikan penyerang kekuatan untuk menyembunyikan dan memodifikasi kode eksploitasi atas kebijakan mereka sendiri tanpa menjalani proses verifikasi mode permainan, yang dapat berbahaya, dan memperbarui seluruh mode permainan khusus," kata Vojtěšek.
.
Pada sistem pemain yang disusupi, backdoor juga digunakan untuk mengunduh eksploitasi Chrome yang diketahui disalahgunakan di alam liar. Kerentanan yang ditargetkan adalah CVE-2021-38003, kelemahan keamanan dengan tingkat keparahan tinggi di JavaScript V8 Google dan mesin WebAssembly yang dieksploitasi dalam serangan sebagai zero-day dan ditambal pada Oktober 2021. "Karena V8 tidak di-sandbox di Dota, eksploitasi itu sendiri memungkinkan eksekusi kode jarak jauh terhadap pemain Dota lainnya," tambah Vojtěšek.
.
Eksploitasi JavaScript untuk CVE-2021-38003 disuntikkan dalam file sah yang menambahkan fungsionalitas papan skor ke permainan yang kemungkinan akan membuatnya lebih sulit untuk dideteksi. Avast melaporkan temuan mereka kepada Valve, pengembang game MOBA Dota 2, yang memperbarui versi V8 yang rentan pada 12 Januari 2023. Sebelum ini, Dota 2 menggunakan versi v8.dll yang dikompilasi pada Desember 2018.
.
Valve juga menghapus mode permainan berbahaya dan memperingatkan semua pemain yang terkena dampak serangan tersebut. "Dengan satu atau lain cara, kita dapat mengatakan bahwa serangan ini tidak terlalu besar skalanya. Menurut Valve, di bawah 200 pemain terpengaruh," vojtěšek menambahkan.
.
Pada sistem pemain yang disusupi, backdoor juga digunakan untuk mengunduh eksploitasi Chrome yang diketahui disalahgunakan di alam liar. Kerentanan yang ditargetkan adalah CVE-2021-38003, kelemahan keamanan dengan tingkat keparahan tinggi di JavaScript V8 Google dan mesin WebAssembly yang dieksploitasi dalam serangan sebagai zero-day dan ditambal pada Oktober 2021. "Karena V8 tidak di-sandbox di Dota, eksploitasi itu sendiri memungkinkan eksekusi kode jarak jauh terhadap pemain Dota lainnya," tambah Vojtěšek.
.
Eksploitasi JavaScript untuk CVE-2021-38003 disuntikkan dalam file sah yang menambahkan fungsionalitas papan skor ke permainan yang kemungkinan akan membuatnya lebih sulit untuk dideteksi. Avast melaporkan temuan mereka kepada Valve, pengembang game MOBA Dota 2, yang memperbarui versi V8 yang rentan pada 12 Januari 2023. Sebelum ini, Dota 2 menggunakan versi v8.dll yang dikompilasi pada Desember 2018.
.
Valve juga menghapus mode permainan berbahaya dan memperingatkan semua pemain yang terkena dampak serangan tersebut. "Dengan satu atau lain cara, kita dapat mengatakan bahwa serangan ini tidak terlalu besar skalanya. Menurut Valve, di bawah 200 pemain terpengaruh," vojtěšek menambahkan.
