Un pirata informático encontró una manera de secuestrar computadoras al abusar del popular juego de PC Dota 2 para generar un código de computadora malicioso.
Los resultados(Se abre en una nueva ventana) provienen del proveedor de antivirus Avast, que descubrió a un pirata informático que aprovechaba una vulnerabilidad en el motor JavaScript de Dota 2 capaz de ejecutar un código de computadora no autorizado en la PC de la víctima.
El problema: Dota 2 había estado usando una versión obsoleta del motor Javascript V8 desde diciembre de 2018, según el investigador de Avast, Jan Vojtěšek. Ese mismo software era vulnerable a una falla que descubrieron los investigadores de Google(Se abre en una nueva ventana) en 2021.
De forma predeterminada, Dota 2 solo ejecutará versiones autorizadas de JavaScript en el motor V8. Entonces, los jugadores permanecen seguros si se apegan al juego principal. Sin embargo, Dota 2 también permite a los usuarios ejecutar juegos personalizados desarrollados por la comunidad de jugadores.
Así es como el pirata informático pudo explotar el motor Javascript V8 obsoleto. Vojtěšek descubrió al culpable publicando al menos cuatro modos de juego personalizados maliciosos para Dota 2 en la tienda Steam de Valve que fueron diseñados para abusar de la falla.
(Crédito: Avast)
“Dado que V8 no estaba aislado en Dota, el exploit por sí solo permitió la ejecución remota de código contra otros jugadores de Dota”, agregó.
Uno de los cuatro modos de juego maliciosos descubiertos en realidad parecía ser un entorno de prueba para que el hacker jugara con el exploit. Este modo de juego simplemente se denominó «complemento de prueba, por favor, ignore». Pero al examinarlo, Avast pudo comprender cómo funcionaba el ataque. Esto incluyó detectar un archivo capaz de «registrar» información de la PC de la víctima y ejecutar comandos arbitrarios.
Luego, el pirata informático agregó las funciones maliciosas en tres modos de juego para Dota 2 titulados «Overdog sin héroes molestos», «Custom Hero Brawl» y «Overthrow RTZ Edition X10 XP». Una puerta trasera en estos modos de juego “puede ejecutar JavaScript arbitrario descargado a través de HTTP, lo que le da al atacante no solo la capacidad de ocultar el código de explotación, sino también la capacidad de actualizarlo a su discreción sin tener que actualizar todo el modo de juego personalizado”, Vojtěšek. escribió.
Recomendado por Nuestros Editores
La buena noticia es que Valve parchó la vulnerabilidad el 12 de enero con una actualización.(Se abre en una nueva ventana) al motor V8 que entró en vigor inmediatamente después de que Avast informara del problema a la empresa. Valve no respondió de inmediato a una solicitud de comentarios. Pero la compañía le dijo a Avast que las actividades del hacker solo afectaron a 200 jugadores.
Las intenciones del hacker siguen sin estar claras. Cuando Avast descubrió los modos de juego maliciosos, el servidor de control del hacker para el exploit ya estaba inactivo. Aún así, el ataque muestra una forma creativa y amenazante de infectar a un gran número de jugadores de PC, ya que algunos juegos personalizados de Dota 2 pueden comandar miles o millones.(Se abre en una nueva ventana) de jugadores
«Por ejemplo, un atacante malintencionado podría intentar apoderarse de un popular modo de juego personalizado. Los desarrolladores originales descuidan muchos modos de juego, por lo que el atacante podría intentar algo tan simple como prometer corregir errores y continuar con el desarrollo de forma gratuita», escribió Vojtěšek. “Después de una serie de actualizaciones legítimas, el atacante podría intentar colarse en la puerta trasera de JavaScript”.
¿Te gusta lo que estás leyendo?
Matricularse en Vigilancia de la seguridad boletín de noticias para nuestras principales historias de privacidad y seguridad directamente en su bandeja de entrada.
Este boletín puede contener publicidad, ofertas o enlaces de afiliados. Suscribirse a un boletín informativo indica su consentimiento a nuestros Términos de uso y Política de privacidad. Puede darse de baja de los boletines en cualquier momento.