Een golf van malware-aanvallen gericht op spelers die vals spelen, verspreidt zich wereldwijd. In dit artikel wordt dieper ingegaan op de werking van deze malware en de infectieroutes ervan, vooral in het geval van games als Roblox.

Lua-malware gebruiken om valsspelende spelers aan te vallen in Roblox en andere games

Malware in valse cheatscripts: valsspelers zullen consequenties ondervinden

Bij zeer competitieve online gaming is de verleiding om een ​​voordeel na te streven enorm. Dit verlangen om te winnen wordt echter uitgebuit door cybercriminelen die malware-aanvallen inzetten, vermomd als cheat-scripts. De malware, geschreven in de Lua-scripttaal, richt zich op gamers over de hele wereld, waarbij onderzoekers infecties melden in Noord- en Zuid-Amerika, Europa, Azië en Australië.

Aanvallers profiteren van de populariteit van Lua-scripts in game-engines en de prevalentie van online communities die zich toeleggen op het delen van valsspeelmethoden. Zoals Shmuel Uzan van Morphisec Threat Lab meldt, gebruiken aanvallers ‘SEO-vergiftiging’-tactieken om hun kwaadaardige websites er legitiem uit te laten zien voor nietsvermoedende gebruikers. Deze kwaadaardige scripts, vermomd als pushverzoeken op GitHub-repository's, richten zich vaak op populaire cheat-script-engines zoals Solara en Electron - motoren die nauw verwant zijn aan het populaire kinderspel Roblox. Gebruikers worden aangetrokken door valse advertenties die valse versies van deze cheatscripts promoten.

De misleidende aard van Lua is een sleutelfactor bij deze aanval. Lua is een lichtgewicht scripttaal die volgens FunTech zelfs "kinderen kunnen leren". Naast Roblox zijn er nog andere populaire games die Lua-scripts gebruiken World of Warcraft, Angry Birds, Factory en vele andere. De aantrekkingskracht van Lua komt voort uit het ontwerp als uitbreidingstaal, waardoor het naadloos kan worden geïntegreerd in verschillende platforms en systemen.

Zodra het kwaadaardige batchbestand is uitgevoerd, brengt de malware echter communicatie tot stand met een door de aanvaller bestuurde commando- en controleserver (C2-server). Vervolgens kan het "gedetailleerde informatie over de geïnfecteerde machine" verzenden en aanvullende kwaadaardige ladingen downloaden. De potentiële gevolgen van deze payloads variëren van diefstal van persoonlijke en financiële gegevens en keylogging tot volledige systeemovername.

De prevalentie van Lua-malware in Roblox

Zoals eerder vermeld heeft op Lua gebaseerde malware populaire games geïnfiltreerd, zoals Roblox, een game-ontwikkelomgeving waarin Lua de primaire scripttaal is. Hoewel Roblox ingebouwde beveiligingsmaatregelen heeft, hebben hackers manieren gevonden om het platform te misbruiken door kwaadaardige Lua-scripts in te sluiten in tools van derden en valse softwarepakketten, zoals de beruchte Luna Grabber.

Omdat Roblox gebruikers in staat stelt hun eigen games te maken, gebruiken veel jonge ontwikkelaars Lua-scripts om in-game functies te bouwen, wat een perfecte storm van bugs veroorzaakt. Cybercriminelen profiteren hiervan door kwaadaardige scripts in schijnbaar goedaardige tools in te sluiten, zoals het pakket "noblox.js-vps", dat volgens ReversingLabs 585 keer werd gedownload voordat werd vastgesteld dat het de Luna Grabber-malware bevatte.

Hoewel het misschien karma lijkt, is er op sociale media niet veel sympathie voor gamers die betrapt worden op vals spelen. Veel mensen zijn van mening dat degenen die de game-ervaring van anderen verpesten, de gevolgen moeten dragen als hun gegevens worden gestolen. Het is onmogelijk om volledig veilig online te zijn, maar de verspreiding van verkapte malware zou gamers misschien moeten aanmoedigen om goede digitale hygiëne toe te passen, aangezien de kortstondige sensatie van het nastreven van een concurrentievoordeel het risico van het compromitteren van hun persoonlijke gegevens niet waard is.