Um actor com ameaças desconhecidas criou modos de jogo maliciosos para a arena de batalha on-line do Dota 2 (MOBA), que poderiam ter sido explorados para estabelecer o acesso de backdoor aos sistemas dos jogadores.
Os modos explorados a falha de alta diversidade no motor V8 JavaScript rastreado como CVE-2021-38003 (pontuação CVSS: 8,8), que foi explorada como um dia zero e abordada pelo Google em Outubro de 2021.
“Uma vez que o V8 não foi lixado no Dota, a exploração por si só permitiu a execução de código remoto contra outros jogadores Dota”, o investigador Avast Jan Vojtěšek disse num relatório publicado na semana passada.
Na sequência da divulgação responsável à Valve, a editora do jogo correcções enviadas em 12 de Janeiro de 2023, através da actualização da versão do V8.
Os modos de jogo são essencialmente capacidades personalizadas que pode ou aumentar um título existente ou oferecer uma jogabilidade completamente nova de uma forma que se desvie das regras padrão.
Embora a publicação de um modo de jogo personalizado na loja Steam inclua um processo de verificação a partir da Valve, os modos de jogo maliciosos descobertos pelo fornecedor de antivírus conseguiram escapar às fendas.
Estes modos de jogo, que desde então foram retirados, são “test addon plz ignore”, “Overdog no annoying heroes”, “Custom Hero Brawl”, e “Overthrow RTZ Edition X10 XP”. Diz-se também que o actor da ameaça publicou um quinto modo de jogo chamado Brawl em Petah Tiqwa, que não embalou nenhum código desonesto.
Incorporado dentro do “test addon plz ignore” é uma exploração da falha V8 que poderia ser armada para executar um código de shell personalizado.
Os outros três, por outro lado, adoptam uma abordagem mais dissimulada, na medida em que o código malicioso é concebido para chegar a um servidor remoto para ir buscar uma carga útil JavaScript, o que também é provável que seja uma exploração para o CVE-2021-38003, uma vez que o servidor já não é alcançável.
Num cenário de ataque hipotético, um jogador que lançasse um dos modos de jogo acima referidos poderia ser visado pelo actor da ameaça para conseguir acesso remoto ao hospedeiro infectado e implantar malware adicional para maior exploração.
Não se sabe imediatamente quais eram os objectivos finais do criador por detrás da criação dos modos de jogo, mas é pouco provável que sejam para fins de investigação benigna, observou Avast.
“Primeiro, o atacante não relatou a vulnerabilidade à Válvula (o que seria geralmente considerado uma coisa agradável de se fazer)”, disse Vojtěšek. “Segundo, o atacante tentou esconder a exploração num backdoor furtivo”.
“Independentemente disso, é também possível que o atacante também não tenha tido intenções puramente maliciosas, uma vez que tal atacante poderia abusar desta vulnerabilidade com um impacto muito maior”.