Counter Strike 1.6 adalah salah satu game legenda yang pernah merasakan popularitas yang besar di masanya. Meski banyak game serupa beredar, tetapi nama besarnya membuat CS 1.6 bertahan karena memiliki basis penggemar yang kuat. Tapi masalahnya, game ini tidak lagi aman bagi pemainnya.
Saat bermain video game, kebanyakan orang tidak khawatir terinfeksi oleh klien game mereka. Namun, penelitian baru menunjukkan bahwa itulah yang terjadi ketika 39% dari semua server game Counter-Strike 1.6 yang ada mencoba untuk menginfeksi pemain melalui kerentanan di klien game.
Sementara Counter-Strike 1.6 hampir berusia 20 tahun, masih memiliki basis pemain dan pasar yang kuat untuk dimainkan dalam server game. Dengan permintaan ini, penyedia hosting menyewakan server game setiap bulan dan menawarkan layanan lain seperti promosi server game pelanggan untuk meningkatkan popularitasnya.
Memanfaatkan fanatisme yang besar dari pencinta Counter Strike 1.6, pengembang mengeksploitasi kerentanan klien game. Menggunakan botnet trojan Belonard dan server yang sudah diracuni untuk mempromosikan server game pelanggannya, sehingga mendapatkan lebih banyak korban untuk menjadi botnet. Pada puncaknya, botnet ini tumbuh sangat besar sehingga sekitar 39% dari 5.000 server Counter-Strike 1.6 berbahaya dan mencoba untuk menginfeksi pemain yang terhubung.
Sehingga jumlah total server yang berbahaya mencapai 1.951 buah diciptakan oleh trojan Belonard melalui pola yang didesain oleh pengembang trojan, menjadikan botnet sebagai bagian penting dari server game CS 1.6. Jaringan skala ini memungkinkan pengembang Trojan untuk mempromosikan server lain demi uang , menambahkannya ke daftar server yang tersedia di klien game yang terinfeksi.
Belonard
Untuk mempromosikan server pelanggannya, seorang pengembang dengan nama alias Belonard menciptakan server jahat yang ketika terhubung dengan klien Counter-Strike 1.6, akan menginfeksi pemain dengan Trojan Belonard.
Untuk melakukan ini, botnet Belonard memanfaatkan klien pra-infeksi atau kerentanan eksekusi perintah jarak jauh pada klien bersih, yang memungkinkan mereka untuk menginstal Trojan cukup dengan pemain datang mengunjungi server jahatnya. Karena klien game Counter-Strike 1.6 tidak lagi didukung sehingga rentan terhadap segala macam kejahatan siber, menempatkan semua pemain game ini sebagai korban potensial botnet ini.
Trojan Belonard yang dideteksi ESET sebagai Win32/Belonard memang sangat efektif bekerja, korban yang fanatik buta terhadap game tentu saja tidak akan menyadari jika mereka masuk ke dalam jebakan berbahaya yang dapat merugikan mereka sementara bermain game kesayangannya.
Cara kerja Belonard
mari sekarang kita beranjak pada bagaimana pemain CS 1.6 dapat terinfeksi oleh trojan Belonard. Proses penginfeksian pemain dimulai saat mereka memainkannya melalui Steam resmi dan memilih server permainan.
Setelah tersambung ke server berbahaya milik pengembang trojan, ia mulai mengeksploitasi kerentanan RCE, mengunggah salah satu library berbahaya ke perangkat korban. Tergantung pada jenis kerentanan, salah satu dari dua library akan diunduh dan dieksekusi: client.dll (Trojan.Belonard.1) atau Mssv24.asi (Trojan.Belonard.5).
Ketika diinstal Trojan akan membuat layanan Windows bernama “Windows DHCP Service” dan menggunakan value ServiceDLL untuk memuat Trojan Belonard yang disimpan di C:\Windows\System32\WinDHCP.dll.
Trojan selanjutnya akan mengganti file di game klien yang tidak hanya mempromosikan situs pelaku di mana klien game yang terinfeksi dapat diunduh, tetapi juga akan mempromosikan server game palsu. Jika seorang pemain mencoba untuk bergabung dengan salah satu server ini, mereka akan diarahkan ke server game jahat yang menggunakan kerentanan RCE untuk menginfeksi korban dengan Trojan Belonard.
Ketika seorang pemain memulai permainan, nama julukan mereka akan berubah ke alamat situs web tempat klien game yang terinfeksi dapat diunduh, sementara menu game akan menampilkan tautan ke komunitas VKontakte CS 1.6 dengan lebih dari 11.500 pelanggan.
Menghentikan Bolenard
Dalam koordinasi dengan domain name registrar REG.ru, akhirnya domain yang digunakan trojan untuk mengarahkan pemain ke server permainan palsu dapat dimatikan. Tindakan ini diambil agar dapat membantu mencegah pemain baru tidak terinfeksi.
Saat ini domain lain yang digunakan juga terus dipantau, akan tetapi sayangnya satu-satunya cara untuk mencegah botnet ini tidak dibuat lagi adalah dengan menambal kerentanan pada klien, karena Counter Strike 1.6 adalah klien terakhir yang dirilis Valve, jadi seperti sulit berharap akan ada perbaikan pada lubang keamanan yanga ada.
Bagi para penggemar berat Counter Strike 1.6 yang masih bersikeras ingin terus memainkan game ini, ESET menyarankan untuk menggunakan solusi keamanan yang komprehensif, dan juga ringan agar tidak membebani komputer yang digunakan. ESET sendiri seperti yang dipaparkan di atas mampu mendeteksi trojan berbahaya ini sebagai Win32/Belonard.
