Pensano di scaricare una copia pirata di Battlefield 6 e invece si trovano malware sul PC e “trainer” infetti

L’uscita di
Battlefield 6, uno dei titoli più attesi dell’anno, ha attirato immediatamente
l’attenzione non solo dei giocatori ma anche dei gruppi cybercriminali. Subito
dopo il debutto del gioco, avvenuto a ottobre, sono comparsi online falsi
installer e copie piratate distribuiti attraverso torrent e forum underground,
ha riferito Bitdefender. Anziché fornire accesso illegale al
titolo, l’utente finisce per installare malware capaci di sottrarre dati sensibili, aggirare analisi
di sicurezza e creare collegamenti remoto di tipo command-and-control.

Mentre alcuni gruppi
noti per il cracking dei videogiochi (come InsaneRamZes e RUNE) esistono
davvero, i malware si presentano usando i loro nomi per guadagnare credibilità.
In alcuni casi la confusione è stata amplificata dal fatto che una versione
pirata autentica del gruppo RUNE è effettivamente apparsa in rete, rendendo
ancora più difficile per gli utenti distinguere tra una copia illegale e un
file infetto.

Ma le finte versioni
di Battlefield 6 non sono l’unico canale utilizzato dagli attaccanti.

Molti
giocatori, alla ricerca di “trainer” per ottenere vantaggi nel gioco (come auto-mira e altri “trucchi” per vincere più facilmente), sono
diventati un bersaglio privilegiato.

Anche in questo caso, le applicazioni che
promettono funzioni speciali nascondono invece software pensato per rubare
credenziali, sessioni browser, portafogli di criptovalute e dati conservati in
app come Discord, usate spesso per conversare online durante le sessioni di
gioco.

Battlefield 6 era
molto atteso e sta registrando ottimi risultati commerciali. Molti utenti, meno
accorti, pensano sia già disponibile una copia pirata – mentre Battlefield 6
include un sistema DRM anti-pirateria – e allora si affrettano a provare a scaricarlo
illegalmente, finendo, al contrario, per scaricare copie contraffatte convinti
che siano autentiche.

Tre
minacce diverse, un’unica strategia

Le analisi condotte da
ricercatori di sicurezza mostrano uno spettro di attacchi molto eterogeneo. Una
prima categoria comprende finti trainer che, una volta aperti, scansionano le
cartelle dell’utente alla ricerca di cookie, password, token di accesso e dati
dei portafogli di criptovalute.

Un secondo filone,
mascherato da “Battlefield 6.GOG-InsaneRamZes”, impiega tecniche decisamente
più avanzate. Prima di attivarsi controlla la lingua e l’area geografica del
sistema, interrompendosi se rileva impostazioni di Russia o Paesi CIS, un
comportamento tipico del malware sviluppato in quelle regioni. Inoltre, utilizza hash al posto delle API di Windows per evitare analisi statiche e implementa
controlli temporali per individuare sandbox e macchine virtuali. Alcuni
riferimenti trovati nella memoria suggeriscono che l’obiettivo potrebbe essere il furto di credenziali
legate allo sviluppo software o a sistemi cloud.

Una terza minaccia,
distribuita come immagine ISO firmata RUNE, contiene invece un loader che
installa un agente remoto persistente. Il componente effettua tentativi ripetuti di contattare un dominio
appartenente all’infrastruttura Google, probabilmente per mascherare il
traffico o instradare i comandi.

Secondo i ricercatori, la struttura del codice
indica la capacità potenziale di eseguire istruzioni da remoto o esfiltrare
dati.