CyberArk Labs, le double jeu de triche

David El, chercheur en malwares chez CyberArk Labs, explique comment les tricheurs peuvent être rentables ou avantageux, et met en évidence les dangers cachés potentiels.

Le développeur du populaire EvolvedAim, un cheat pour Escape From Tarkov, a vendu son outil contenant un infostealer fourni, agissant ainsi comme un agent double et causant des dommages à ses clients et au jeu lui-même.

Escape From Tarkov est un simulateur militaire réaliste qui a gagné en popularité au fil des années. Avec environ 14,7 millions de joueurs, le marché clandestin de la triche a prospéré. L’un d’eux est EvolvedAim, un outil qui promet un large éventail de fonctionnalités, telles que le trading automatique dans la maison de vente aux enchères intégrée au jeu et l’entraînement automatique de compétences spécifiques à travers des actions répétitives. Le développeur fonctionnait comme une petite maison de logiciels, développant même une stratégie de revenus récurrents à plusieurs niveaux et menant des campagnes publicitaires sur divers portails de triche.

Les logiciels malveillants présents dans les astuces ne sont pas rares, mais dans ce cas, l’impact potentiel est important. Non seulement Escape From Tarkov est un jeu populaire parmi les jeunes adultes de 25 ans et plus, mais cette astuce particulière a un coût réel, dans le cadre d’un modèle d’abonnement, comme le montre l’image, ciblant ainsi les utilisateurs adultes. Les informations volées pourraient potentiellement être utilisées pour exploiter et accéder aux données personnelles et même aux entreprises du monde entier.

L’histoire commence avec EDP, propriétaire de l’un des plus grands forums tricher et robot pour Tarkov, qui comprend un grand marché en pleine activité avec plus de 30 000 visites par mois. Il y a environ un an, EDP a été contacté par Mythical – principal développeur de Objectif évolué (le cheat avec potentiellement un malware embarqué) -, avec l’intention de vendre son outil sur son forum et de partager une partie des bénéfices.

Cet accord a duré près d’un an, apportant aux deux parties une bonne source de revenus. Cela a également aidé EvolvedAim à se faire une réputation en dehors du forum, qui a pu répertorier l’outil en vente sur son site et placer des annonces sur divers forums. Le problème est né d’un conflit entre les deux, car Mythical voulait réduire la part des bénéfices de EDP tout en continuant à revendre sur son forum. À peu près au même moment, EDP a remarqué plusieurs tentatives de connexion suspectes à ses comptes et des captures d’écran de son bureau apparaissaient à plusieurs reprises.

Les dangers d’EvolvedAim

EvolvedAim est écrit en Python 3.10 et est converti en exécutable à l’aide de la très populaire bibliothèque PyInstaller, qui simplifie le processus d’analyse des exécutables de ce type.

Lorsque vous exécutez EvolvedAim, vous êtes accueilli par une zone de saisie qui demande une clé de licence. Cependant, au moment où l’utilisateur y entre, ses informations ont déjà été volées et exfiltrées, car le code dangereux s’exécute dans un thread séparé à partir de l’exécution initiale de la triche. EvolvedAim exécute quatre threads. deux sont inoffensifs (MainWindow et detector_keybind), utilisés pour la fonctionnalité de triche. Les deux autres sont malveillants, intelligemment cachés, avec des noms peu suspects comme discord_to_bot et run_antivm.

Cette tendance s’étend également à d’autres parties du programme, puisque la fonction qui vole toutes les informations s’appelle meme_detector.
Les quatre threads s’exécutent simultanément ; l’un apparaît comme une détection de machine anti-virtuelle inoffensive mais, en réalité, héberge une logique malveillante « cachée » dans EvolvedAim. Le thread antivm vérifie dans un premier temps le nom du PC et, s’il correspond à l’un des deux noms inclus dans la liste noire, ne procède pas au vol d’informations. Fait intéressant, il semble que les développeurs utilisent également des astuces sur leurs propres ordinateurs, car les deux noms sur liste noire appartiennent à EvolvedAim. Par la suite, la logique de vol d’informations est exécutée, collectant les mots de passe et les valeurs des cookies des principaux navigateurs (Chrome, Firefox, Opera, Kometa, 7Star, Amigo, Opera GX, Sputnik, Tor, Torch, CentBrowser, Vivaldi, Chrome SxS, Epic Navigateur de confidentialité, Uran, Yandex, Iridium).

De plus, tous les fichiers stockés par la populaire extension de portefeuille de crypto-monnaie MetaMask, ainsi que les fichiers sensibles de Discord et Steam, la boutique de jeux en ligne la plus populaire au monde, sont collectés et téléchargés. De plus, une liste de fichiers est collectée à partir du dossier Documents et Téléchargements et, enfin et surtout, une capture d’écran est prise sur le PC de la victime, fournissant un aperçu à l’attaquant.
Toutes les informations collectées sont temporairement stockées dans un dossier puis compressées dans une archive .zip portant le nom du PC concerné, qui est ensuite téléchargée sur Mega.nz, un service d’hébergement de fichiers utilisé par l’attaquant pour stocker et gérer les données collectées. À ce stade, le malware utilise un webhook Discord pour avertir l’attaquant sur le serveur. à.

Commande et contrôle

En plus de ses capacités de vol d’informations, EvolvedAim exécute un thread appelé discord_to_bot qui vérifie périodiquement les commandes et permet à l’attaquant d’envoyer l’une des quatre commandes disponibles :

• Arrêt – ferme le programme « EscapeFromTarkov.exe », l’exécutable principal du jeu.
• Supprimer – supprimer un fichier ou un dossier du PC de la victime.
• Saisir – collecte un fichier ou un dossier arbitraire de la victime et le télécharge sur Mega.nz.
• Retirer – supprime la commande de la base de données utilisée pour vérifier si le client est toujours actif.

Conséquences

Suivant ceci Découverte, EDP et d’autres propriétaires de forums ont publiquement alerté leurs utilisateurs sur EvolvedAim, bannissant Mythical de leurs serveurs. Avec une clientèle estimée à plus d’un millier d’utilisateurs et un public cible de jeunes adultes, les dégâts et la quantité d’informations volées sont importants.
EvolvedAim n’est plus actif, son serveur Discord a été fermé et il semble qu’il ait été contraint de fermer boutique – espérons-le pour de bon. Tricher est une erreur, dans toutes les situations, et comporte toujours un inconvénient. Dans ce cas, il s’agissait de payer de l’argent pour accéder au tricheur, perdant ainsi vos informations personnelles, vos mots de passe et vos fichiers.

L’impact ne se limite pas à la victime, puisque les utilisateurs peuvent accéder à leurs comptes professionnels depuis leur ordinateur personnel, exposant ainsi leur entreprise à un danger potentiel. Les logiciels malveillants présents dans les astuces et les logiciels piratés ne sont pas rares, mais c’est le premier cas où nous rencontrons un développeur de triche rémunéré qui s’est enrichi en attaquant ses propres clients.