16 avril 2021

Coup de Karma pour les apprentis tricheurs du jeu vidéo : Call of Duty Warzone

Introduction

Depuis que les jeux vidéos existent, de nombreuses personnes essaient de contourner les restrictions mises en place par ces jeux/systèmes afin d’obtenir des privilèges plus élevés pour plein de raisons différentes. Que ce soit pour la gloire, l’amusement ou le challenge, les logiciels de triche pour les jeux vidéos pullulent aujourd’hui sur Internet. Un des soucis soulevés de ces solutions de triche étant lors de jeux vidéos en ligne, entre joueurs. Si l’un d’entre eux se met à tricher, cela se répercute sur les autres joueurs. La question de la sécurité de ces logiciels en ressort également.

Review: Call of Duty: Warzone - Juan de Souza

Pour les joueurs de Call of Duty : Warzone (un FPS en ligne de type Battle Royale), ce problème est particulièrement pertinent. En effet, les tricheurs sont également de la partie, ce qui pourrait causer des problèmes à l’ensemble des joueurs. D’après un nouveau rapport de sécurité d’Activision, il semblerait que les tricheurs de Warzone soient eux-mêmes pris pour cible, les pirates les utilisant comme cibles de logiciels malveillants de triche. Activision, étant extrêmement proactif sur le sujet des logiciels de triche, bannit activement les comptes qui cherchent à prendre l’avantage sur les autres joueurs : rien qu’en mars, plus de 30 000 comptes ont été bannis.

Karma is a beach

En raison du renforcement des mesures de sécurité, les tricheurs cherchent de nouveaux moyens de déjouer le système. Ils sont donc des cibles de choix pour les pirates informatiques qui déguisent leurs programmes malveillants en leur faisant miroiter des avantages déloyaux.

Prenons un exemple concret qui a été à la une de l’actualité récemment (https://www.theverge.com/2021/3/31/22360826/call-of-duty-warzone-malware-cheats-hack) – CoD Dropper v0.1

L’article relate un logiciel utilisé sur Call of Duty Warzone permettant de faire de faux logiciels de triche comportant un malware.

Lorsque les tricheurs essaient de l’utiliser afin d’obtenir des speedhacks, des aimbots et autres tricheries en tout genre, un logiciel malveillant précédemment introduit par les attaquants agit en tâche de fond et s’installe sur leur système.

Malheureusement pour les tricheurs de Warzone, beaucoup se sont fait avoir. Au lieu des hacks promis, CoD Dropper v0.1 a permis aux pirates d’extraire des données de leur PC.

Cet outil est considéré comme un « dropper », un malware qui est utilisé pour installer ou délivrer une charge utile (payload), telle qu’un logiciel malveillant de vol de données, sur un système ou un périphérique cible. Un dropper est un moyen d’arriver à une fin, plutôt que la fin elle-même, mais il constitue néanmoins un maillon essentiel de la chaîne.

Le dropper trouvé ici, « Cod Dropper v0.1 », peut être personnalisé pour installer d’autres logiciels malveillants plus destructeurs sur les machines cibles.

Historique – Des messages sur des forums de piratage annoncent une méthode de diffusion de ce logiciel malveillant

En mars 2020, un acteur a publié sur plusieurs forums de piratage une méthode gratuite, « conviviale pour les débutants » et « efficace » afin de propager un cheval de Troie d’accès à distance (RAT – Remote Administration Tool), qui est un logiciel malveillant qui fournit à l’attaquant un accès à distance à la cible à laquelle il est livré.

Figure 1 : Post diffusant une méthode gratuite, « conviviale pour les débutants » et « efficace » afin de propager un cheval de Troie d’accès à distance

L’article et les instructions détaillés permettent aux attaquants, même non avertis, de disposer d’un guide étape par étape pour l’utilisation de cette technique contre des fraudeurs peu méfiants. Au lieu que les acteurs malveillants passent des heures à travailler sur des méthodes d’évasion compliquées ou tirer parti d’exploits existants, ils peuvent au contraire s’employer à créer des annonces de triche convaincantes, qui, si elles sont proposées à un prix compétitif, peuvent potentiellement attirer l’attention.

Une vidéo explicative du logiciel était également sur YouTube :

Figure 2 : Vidéo explicative de COD-Dropper

Le faux logiciel de triche a ensuite été aperçu sur plusieurs sites de triches:

Figure 3 : Faux logiciel de triche sur un forum

Bien qu’il existe probablement des centaines de guides couvrant les méthodes de distribution des RAT, cette diffusion ne repose pas sur des tactiques sophistiquées, mais sur la volonté de la victime de désactiver plusieurs paramètres de sécurité sur son propre système. On parle ici d’ingénierie sociale.

La méthode suggérée par l’acteur pour convaincre les victimes de désactiver leurs protections est considérablement facilitée par la publicité de leur RAT en tant que tricheur de jeux vidéos. Il est courant, lorsqu’on configure un programme de triche, de l’exécuter avec les privilèges les plus élevés. Les guides de triche demandent généralement aux utilisateurs de désactiver ou de désinstaller les logiciels antivirus et les pare-feu hôtes, etc.

Figure 4 : Post provenant d’un forum qui indique les sécurités à désactiver avant de lancer le logiciel

Analyse technique

Le dropper lui-même est une application .NET qui télécharge et exécute un exécutable arbitraire. À moins qu’il ne soit déjà désactivé, l’UAC (User Account Control) demandera à l’utilisateur de consentir à ce que l’exécutable téléchargé s’exécute avec des privilèges d’administrateurs.

Figure 5 : Extrait du code source de l’application

Nous pouvons voir ci-dessus que l’application télécharge un fichier depuis un hôte distant et l’enregistre dans le répertoire actuel sous le nom de fichier « CheatEngine.exe ».

Une fois la charge utile enregistrée sur le disque, l’application crée un VBScript nommé « CheatEngine.vbs ». Elle lance ensuite le processus « CheatEngine.exe » et supprime l’exécutable « CheatEngine.exe ».

Figure 6 : Call of Duty Warzone Cheat Engine

Pour créer le dropper en tant que faux logiciel de triche, l’attaquant n’a qu’à utiliser l’application « COD-Dropper v0.1 » en insérant sa charge utile:

Figure 7 : Dropper Call of Duty Warzone

Le créateur/générateur est un exécutable .NET qui contient un dropper .NET comme objet ressource. Avec une URL vers la charge utile malveillante, lorsque l’utilisateur clique sur ‘Build’, l’application inspecte l’objet ‘COD_bin’ avec la bibliothèque d’assemblage .NET ‘dnlib’. Elle remplace l’URL nommée par l’URL fournie et enregistre la ressource ‘COD_bin’ sous un nouveau nom de fichier.

Conclusion

Dans un monde où il existe effectivement des tricheurs et des joueurs prêts à renoncer à certains privilèges sur leurs machines, il n’est pas étonnant que les pirates puissent profiter de ces ouvertures. Les utilisateurs pensent qu’il est normal qu’un logiciel de triche soit dans la base de données des antivirus et ne se posent pas forcément la question d’un danger, car l’appât de la triche est plus important.

Malgré les dangers apparents des logiciels malveillants, il est peu probable qu’ils cessent d’essayer de tricher. Bien qu’Activision et les autres éditeurs de jeux vidéos fassent de leur mieux pour ne pas se laisser distancer par les développeurs de ces logiciels, la tricherie a peu de chance de s’arrêter, à l’image du chat et de la sourie.

D’un point de vue sécurité, il faut bien entendu toujours faire attention a ne pas installer de logiciel provenant de sources douteuses, surtout si celle-ci nous demande de désactiver par feu et antivirus avant de les installer.

16 avril 2021 CERT

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *