Lors d'une découverte récente, Cyble Research and Intelligence Labs (CRIL) a détecté une page GitHub trompeuse qui se fait passer pour un projet de piratage de contournement de PUBG.
Les utilisateurs sans méfiance qui téléchargent le fichier de solution du projet (.sln) deviennent sans le savoir victimes d'un logiciel malveillant voleur d'informations appelé « Legion Stealer ».
En exécutant le fichier de solution (.sln), les utilisateurs invitent par inadvertance Legion Stealer, un malware insidieux qui vole des informations, sur leurs systèmes.
Legion Stealer est un programme malveillant qui vole des informations sensibles sur l'ordinateur de la victime.
Il effectue diverses actions pour éviter la détection et collecter des données, telles que la manipulation des paramètres de Windows Defender, l'extraction d'informations du registre et la collecte de détails sur le système tels que le système d'exploitation, la taille de la RAM et les informations sur le processeur.
Il cible également les navigateurs Web, extrait les mots de passe et les cookies, et recherche les portefeuilles de crypto-monnaie, les fichiers de session Minecraft et les données des applications de messagerie.
Les données volées sont compressées et envoyées à un serveur Discord via des webhooks.
Hacks de contournement de PUBG et référentiels GitHub malveillants
Des acteurs malveillants ont été découverts utilisant diverses tactiques pour tromper les utilisateurs sur GitHub. Ils créent des référentiels qui semblent utiles ou légitimes, incitant les victimes sans méfiance à les cloner ou à les télécharger.
Cependant, sous la surface, ces référentiels hébergent des logiciels malveillants et du code cachés.
Avec des noms et des descriptions attrayants, les référentiels se font passer pour de véritables projets ou offrent des outils précieux, incitant les utilisateurs à exécuter du code malveillant.
Les victimes de ces référentiels deviennent vulnérables aux infections par des logiciels malveillants.
« Des hacks comme ceux-ci peuvent permettre aux joueurs de voir à travers les murs, de viser automatiquement leurs adversaires, de se déplacer plus rapidement que la normale et d'effectuer d'autres actions qui ne sont pas possibles dans les mécanismes de jeu habituels du jeu », a déclaré le Rapport CRIL.
« L'utilisation de hacks de contournement est contraire aux conditions de service du jeu et peut entraîner des sanctions, notamment des bannissements temporaires ou permanents. »
Lorsque les utilisateurs visitent la page GitHub « PUBG-Karogour-Bypass-NO-BAN » et cliquent sur l'option « Télécharger ZIP », ils enregistrent un fichier sur leur ordinateur.
Ce fichier contient différents types de fichiers, tels que le code source, les fichiers de projet, les icônes et les ressources. L'un de ces fichiers, nommé « Karogour_BypasrcS.sln », semble être un fichier de solution pour un projet C# mais est en réalité un fichier exécutable nuisible.
Lorsque le fichier « Karogour_BypasrcS.sln » est exécuté, il dépose secrètement deux autres fichiers appelés « Local_ycsNYnaBZ.sln » et « LocalchfRgyVJSk.exe » dans un emplacement caché sur l'ordinateur.
Le fichier « Local_ycsNYnaBZ.sln » s'ouvre dans l'éditeur Visual Studio pour tromper l'utilisateur, tandis que le fichier « LocalchfRgyVJSk.exe » s'exécute en arrière-plan à l'insu de l'utilisateur.
Ce fichier caché est identifié comme la charge utile du malware Legion Stealer.
Comprendre les hacks de contournement de PUBG et leurs implications
La popularité de PUBG en a fait une entrée régulière dans l'actualité de la cybersécurité.
Un type de rançongiciel repéré en 2018 crypte divers types de fichiers, tels que des images, de la musique et des documents, et les retient en otage jusqu'à ce qu'une condition spécifique soit remplie.
Dans ce cas, la condition est de jouer au jeu Playerunknown's Battlegrounds (PUBG) pendant une heure. Ce n’est qu’après avoir rempli cette condition que le ransomware publiera les fichiers cryptés.
Un hack de contournement de PUBG fait référence à une méthode illicite utilisée par les joueurs pour obtenir un avantage injuste sur les autres dans le jeu populaire Battle Royale.
Ces hacks sont conçus pour contourner les mesures de sécurité et les systèmes anti-triche du jeu, permettant aux joueurs d'accéder à diverses astuces et exploits tels que les aimbots, les wallhacks et les speed hacks.
Cependant, l'utilisation de hacks de contournement est strictement interdite par les conditions de service du jeu et peut entraîner de graves conséquences, notamment des bannissements temporaires ou permanents.
GitHub, connue comme une plateforme Web fiable pour les projets de contrôle de versions et de développement de logiciels collaboratifs, se retrouve pris dans une double impasse.
Bien qu'il facilite efficacement le partage de code et la collaboration légitimes, il devient également une plateforme attrayante pour les acteurs de la menace (TA) qui souhaitent diffuser des logiciels malveillants, des portes dérobées et des exploits via des référentiels.
La nature même de GitHub, conçu pour une collaboration transparente, peut être exploitée par des acteurs malveillants pour inciter des utilisateurs peu méfiants à télécharger et à exécuter leurs charges utiles cachées, prévient le rapport du CRIL.
Pour vous protéger contre de telles attaques, il est important d'être prudent lors du téléchargement de fichiers et d'éviter les sources qui ne sont pas dignes de confiance, conseille le rapport.
« Effacez régulièrement votre historique de navigation et modifiez vos mots de passe pour minimiser le risque de compromission », a déclaré un chercheur du CRIL au Cyber Express.
Selon le chercheur, activer les mises à jour automatiques des logiciels sur vos appareils pour obtenir les derniers correctifs de sécurité est également très utile.
« Installez un logiciel antivirus et de sécurité Internet réputé pour protéger vos appareils contre les logiciels malveillants. Soyez vigilant et évitez de cliquer sur des liens non fiables ou d’ouvrir des pièces jointes à des e-mails sans vérifier leur authenticité », a ajouté le chercheur.