Фальшивые версии Battlefield 6 и игровые читы распространяют воров данных и агентов удаленного доступа

Battlefield 6, разработанная студией DICE и изданная Electronic Arts (EA), вышла в октябре и стала одним из наиболее значимых игровых релизов года. Киберпреступники традиционно используют такие масштабные события для распространения вредоносного программного обеспечения.

Сразу после официального релиза злоумышленники начали распространять фальшивые взломанные версии Battlefield 6 на торрент-сайтах и в подпольных форумах. Эти якобы пиратские копии на деле содержат инфицированные установщики, доставляющие похитителей данных, усовершенствованные скрытые нагрузки и даже агентов командного центра (C2, command-and-control).

Любопытно, что злоумышленники используют имена известных пиратских групп InsaneRamZes и RUNE для придания видимости легитимности своим публикациям. Это классическая тактика имитации легитимных брендов в кибератаках. Однако целевой аудиторией являются не только любители пиратского контента. Игроки, ищущие преимуществ в игре, также становятся жертвами через фальшивые читы (trainer), которые вместо расширения игровых возможностей крадут конфиденциальную информацию.

Анализ трех образцов показал различные тактики атак, использующих популярность игры для компрометации компьютеров и хищения данных. Многочисленные "кряки" и "читы" для Battlefield 6, циркулирующие в сети, не обладают заявленной функциональностью. Фальшивый чит представляет собой агрессивного вора данных, нацеленного на браузеры и криптокошельки. Версия под видом InsaneRamZes демонстрирует продвинутые техники противоанализа и регионального уклонения, тогда как версия RUNE развертывает агента C2, способного к персистентности (persistence) и удаленному управлению.

Важно отметить, что настоящая группа RUNE действительно выпустила взломанную версию Battlefield 6, что может способствовать случайной загрузке вредоносной версии пользователями. Ситуацию осложняет то, что игры с продвинутой защитой и сильным мультиплеерным компонентом, такие как Battlefield 6, обычно требуют больше времени для взлома, но не все пользователи осознают это.

Фальшивый чит для Battlefield 6 маскируется под установщик и активно распространяется через сайт flingtrainer[.]io, который ворует имя у легитимного разработчика игровых читов. Несмотря на небольшой размер и отсутствие обфускации, вредоносная программа быстро извлекает данные после запуска. Она проверяет локальные каталоги пользователей и профили интернет-браузеров, извлекая данные криптокошельков и cookie-сессии из Chrome, Edge, Firefox, Opera, Brave, Vivaldi и WaveBrowser. Также происходит кража токенов сессий и учетных данных Discord и данных расширений криптокошельков из Chrome. Вся похищенная информация пересылается на 198[.]251[.]84[.]9 через незашифрованный HTTP-трафик.

Образец "Battlefield 6.GOG-InsaneRamZes" использует совершенно другую стратегию, включающую скрытность и анализ окружения. Перед развертыванием полезной нагрузки вредоносная программа проверяет региональные настройки и прекращает выполнение при обнаружении русского языка или настроек стран СНГ. Это мера самозащиты, часто используемая российскими группами злоумышленников для избежания юридических последствий в определенных юрисдикциях.

Для скрытия своей работы вредоносная программа маскирует API-вызовы с помощью хешированных строк. При выполнении она определяет хеш каждого целевого API из системных DLL и сохраняет его для последующего использования. Дополнительно проводится проверка GetTickCount() для обнаружения песочницы путем определения времени работы системы. Анализ строк в памяти выявил ссылки на программное обеспечение CockroachDB, Postman, BitBucket и FastAPI, что свидетельствует о нацеленности на API-ключи или учетные данные баз данных.

Третий образец, замаскированный под ISO-образ Battlefield 6, доставляет персистентного агента командного центра. Внутри ISO находится исполняемый файл MZ размером 25 МБ, содержащий объект, сжатый ZLIB. При выполнении бинарный файл распаковывает ZLIB-содержимое, записывает файл 2GreenYellow.dat в каталог текущего пользователя и автоматически выполняет его через regsvr32.exe. DLL включает три стандартных экспорта и после инициализации многократно пытается связаться с ei-in-f101[.]1e100[.]net, использующим домен Google, возможно, в качестве ретранслятора или для маскировки C2-коммуникаций.

Обнаружение этих вредоносных пиратских версий и читов для Battlefield 6 подчеркивает реальную и активную угрозу в игровой экосистеме. Злоумышленники эксплуатируют любопытство и нетерпение игроков, ожидающих новые релизы. Хотя невозможно точно определить количество загрузок вредоносных программ, исследователи наблюдали сотни активных сидов и личей для этих торрентов, что означает множество потенциальных жертв. Чит для Battlefield 6 появлялся на второй странице результатов простого поиска в Google, указывая на значительное количество возможных пострадавших.

Ни один из проанализированных файлов не предлагает какой-либо заявленной функциональности. Вместо этого пользователи сталкиваются с простыми ворами данных для массового сбора информации из браузеров и кошельков, скрытыми нагрузками, предназначенными для избежания обнаружения и нацеленными на учетные данные разработчиков, а также модульными загрузчиками для удаленного управления и будущей эксплуатации.

Bitdefender настоятельно рекомендует пользователям приобретать и загружать Battlefield 6 и другие игры только с официальных платформ, таких как EA App, Steam, Epic Games Store, Uplay, GOG и другие. Следует избегать торрентов, сторонних "читов" и неизвестных исполняемых файлов, а также использовать поведенческую защиту в реальном времени для блокировки вредоносных нагрузок до их выполнения.

IPv4

• 198.251.84.9

Domains

• ei-in-f101.1e100.net