EvolvedAim: infostealer nascosto nel cheat per Escape From Tarkov

Lug 26, 2024 Hacking, In evidenza, Malware, News

Tanti videogiocatori si affidano ai cheat per avere più possibilità di vincere nei videogiochi, trucchi che gli consentono di ottenere benefici che il titolo normalmente non offre. Utilizzare i cheat non è soltanto scorretto nei confronti degli altri videogiocatori, ma può essere anche pericoloso: è il caso del popolare EvolvedAim, un cheat per Escape From Tarkov che conteneva un infostealer. 

Il videogioco è un noto simulatore militare realistico che conta 14,76 milioni di giocatori e centinaia di cheat in vendita. Tra questi, EvolvedAim ha guadagnato popolarità perché offre numerose funzionalità, come il trading automatico nella casa d’aste del gioco e l’addestramento automatico per sviluppare abilità specifiche.

David El, malware researcher di CyberArk Labs, spiega che il malware nei cheat non è raro, ma in questo caso l’impatto potenziale è elevato: Escape From Tarkov è molto popolare tra i giovani adulti (dai 25 anni in su), così come il trucco che prevede un modello in abbonamento, studiato per colpire utenti adulti. Le informazioni sottratte possono essere usate per far leva e ottenere accesso ai dati personali degli utenti.

Più di un anno fa Mythical, il principale sviluppatore di EvolvedAim, ha contattato EDP, proprietario di uno dei più grandi forum di cheat e bot per il videogioco, per proporgli di mettere in vendita il suo strumento, condividendo una parte dei profitti. Nel corso dell’ultimo anno entrambe le parti hanno generato un buon flusso di entrate e il cheat è diventato famoso anche al di fuori del forum, tanto che Mythical ha iniziato a metterlo in vendita sul proprio sito.

È a questo punto che sono iniziati i problemi: Mythical, raggiunta la notorietà col suo cheat, voleva ridurre la quota di profitti di EDP pur continuando a rivendere EvolvedAim sul suo forum; nel frattempo, il proprietario del forum ha iniziato a notare diversi tentativi di accesso ai suoi account e la comparsa di screenshot del suo desktop.

Come agisce EvolvedAim

El spiega che il cheat è scritto in Python 3.10 e viene convertito in eseguibile usando la libreria PyInstaller. Quando si esegue EvolvedAim, viene mostrata una casella di input che richiede di inserire una chiave di licenza. Il danno ormai è fatto: l’infostealer ha già raccolto le informazioni, in quanto il codice malevolo viene eseguito in un thread separato da quello principale del cheat.

Nel dettaglio, il software esegue quattro thread: due sono benigni, usati per l’effettiva funzionalità del cheat, mentre gli altri sono dannosi e vengono eseguiti con nomi non sospetti come discord_to_bot e run_antivm.

I quattro thread vengono eseguiti simultaneamente: run_antivm appare come un  rilevamento anti-virtual machine ma, in realtà, esegue la logica dannosa. Questo thread controlla inizialmente il nome del PC e, se corrisponde a uno dei due nomi inseriti nella black list, non procede con il furto di informazioni. I nomi inseriti nella black list sono quelli dei due sviluppatori del cheat.

A seguire viene eseguita la logica per la raccolta e l’esfiltrazione delle informazioni, le quali comprendono le password e i valori dei cookie dai principali browser, compresi Chrome, Firefox e Opera, ma anche Tor, Torch e Vivaldi. Vengono inoltre raccolti e caricati tutti i file memorizzati dall’estensione del popolare portafoglio di criptovalute MetaMask, oltre ai file sensibili di Discord e Steam, l’elenco di file dalle cartelle Documenti e Download, e viene scattato uno screenshot al desktop.

I dati raccolti vengono archiviati temporaneamente in una cartella e compressi in un archivio .zip col nome del PC colpito; l’archivio viene in seguito caricato su Mega.nz. A questo punto, l’infostealer usa un webhook di Discord per notificare l’attaccante sul server.

Il thread discord_to_bot si occupa invece di gestire i comandi inviati dall’attaccante. Il cybercriminale può decidere di interrompere l’esecuzione dell’infostealer, cancellare un file o una cartella dal PC colpito, raccogliere un file o una cartella dalla vittima o eliminare il comando dal database utilizzato per verificare se il client è ancora attivo.

Le conseguenze della scoperta

Dopo aver scoperto la vera identità del cheat, EDP e altri proprietari dei forum hanno avvisato i propri utenti e hanno bandito Mythical dai propri server. CyberArk Labs ipotizza più di un migliaio di utenti colpiti, con una quantità di informazioni sottratte significativa.

“Il malware nei cheat e nei software craccati non è raro, ma questo è il primo caso in cui ci siamo imbattuti in uno sviluppatore di cheat a pagamento che si è arricchito attaccando i suoi stessi clienti” afferma El. Il ricercatore spiega inoltre che il danno non è limitato alla vittima, perché gli utenti possono accedere ai propri account lavorativi dai loro PC personali ed esporre la propria azienda a potenziali pericoli.

EvolvedAim ora non è più attivo e il server Discord è stato chiuso, così come il negozio online.

• cheat, Escape from Tarkov, esfiltrazione dati, EvolvedAim, infostealer, videogiochi