Milhares de jogadores de Fortnite foram infectados por um malware que sequestra sessões web criptografadas para poder injetar anúncios em cada página que o usuário visita. O caso foi relatado pela Rainway, uma empresa de streaming de jogos, em um post publicado pelo CEO da companhia, Andrew Sampson.
De acordo com Sampson, no dia 26 de junho, o inconveniente foi detectada quando o servidor da empresa registrou mais de 300 mil erros como resultado de diversas tentativas falhas de conexão com um servidor de anúncios, quando, na verdade, a Rainway não contém publicidade.
Por razões de segurança e privacidade, a Rainway usa listas brancas de URLs que permitem que os usuários se conectem apenas a endereços aprovados, que são monitorados pela empresa para controlar o alcance que podem ter dentro da plataforma, explicou o CEO. Ao identificar os endereços falsos, eles confirmaram que a segurança da plataforma havia sido comprometida e que o tráfego estava sendo gerado como resultado de um malware que infectou um grande número de usuários que usaram o serviço da Rainway, explicou.
O CEO da Rainway escreveu em um post que "como o erro ainda estava ativo, eles analisaram o que os usuários infectados tinham em comum e concluíram que todos jogavam Fortnite".
Quando chegaram a essa conclusão e sabendo que Fortnite é um dos games mais populares, eles começaram a procurar no YouTube ofertas gratuitas de falsas "vantagens especiais" para o jogo. E, embora Fortnite seja gratuito, os lucros são baseados em melhorias que podem ser obtidas através de pagamentos. Os usuários investem dinheiro para obter V-bucks, uma moeda virtual de Fortnite que permite a compra de itens como roupas e armas coloridas, entre outros. Isso faz com que muitos tentem pesquisar na Internet alternativas gratuitas para essas "vantagens competitivas" e acabem sendo infectados.
Foi dessa forma que os pesquisadores da Rainway baixaram centenas de programas piratas, que prometiam ajudar os jogadores com algum tipo de vantagem, e os analisaram. Apesar de todos os programas contarem com algum componente malicioso, eles identificaram um em particular (exatamente o que buscavam), que prometia aos jogadores obter V-bucks gratuitamente ao acessar um "aimbot" (permite que o jogador possa atirar em um adversário com precisão perfeita). Depois de analisarem esse aplicativo pirateado em uma máquina virtual, descobriram que o app instalava um certificado raiz que permitia um ataque do tipo Man in the Middle em cada site criptografado que o usuário visitava, explicou o CEO da Rainway.
Uma vez que o incidente foi detectado, os pesquisadores relataram a existência desse código malicioso para o provedor de serviços que o hospedou. O provedor conseguiu removê-lo e confirmou que o malware foi baixado 78.000 vezes.
Além disso, os investigadores relataram o incidente para as empresas que oferecem serviços de publicidade, como a Adtelligent e a Springserve. Embora a Adtelligent ainda não tenha respondido, no caso da Springserve, as companhias colaboraram na identificação de anúncios indevidos e removeram o malware de suas páginas.
Sampson destacou que a empresa informou os usuários infectados e intensificou as medidas de segurança através da ativação do certificate pinning, que ajuda a mitigar qualquer ataque do tipo Man in the Middle.
O CEO da empresa orienta que os jogadores não baixem programas de forma aleatória e destaca um conselho de segurança pessoal: se algo é bom demais para ser verdade, você provavelmente acabe tendo que formatar seu computador.
Conclusão: cuidado com os arquivos que você baixa na Internet!
