Американского издателя игр 2K Games взломали. Скомпрометированная поддержка компании начала рассылать игрокам тикеты, содержащие ссылки на малварь RedLine, предназначенную для кражи информации. Теперь, когда атаку обнаружили, портал поддержки временно отключен.
Компания 2K Games является издателем множества популярных игровых франшиз, включая NBA 2K, Borderlands, WWE 2K, PGA Tour 2K, Bioshock, Civilization и Xcom.
Вчера журналисты Bleeping Computer обратили внимание, что в Twitter и на Reddit появляется все больше жалоб от пользователей, которым на почту приходит странная информация от поддержки 2K Games. В письмах жервам сообщали о якобы открытых ими тикетах на 2ksupport.zendesk.com (официальная поддержка 2K Games), которых люди на самом деле не открывали.
Вскоре после первого письма геймеры получали еще одно, якобы с ответом на тикет, который оставил представитель службы поддержки 2K Games по имени Prince K. К этому посланию прилагался файл с именем «2K Launcher.zip», размещенный непосредственно на 2ksupport.zendesk.com. Мошенники выдавали его за новый лаунчер для игр.
«Спасибо, что обратились в службу поддержки 2K! Загрузить новую программу запуска игр от 2K можно ниже», — гласило сообщение мошенников.
На самом деле этот архив содержал исполняемый файл 2K Launcher.exe размером 107 Мб, который, конечно, не был официальным лаунчером. Так, файл не имел цифровой подписи, назывался Plumy.exe, а в его описании значилось «5K Player».
По данным VirusTotal и Any.Run, этот исполняемый файл представляет собой известного вредоноса RedLine. Это весьма мощная малварь, предназначенная для кражи информации. Она способна извлекать учетные данные из браузеров, клиентов FTP, электронной почты, мессенджеров и VPN. Кроме того, вредонос может воровать аутентификационные файлы cookie и номера карт, хранящиеся в браузерах, логи чатов, локальные файлы и БД криптовалютных кошельков.
Анализ 2K Launcher.exe, проведенный журналистами, показал различные папки, на которые была нацелена малварь. В их числе были данные из FileZilla, Discord, Steam и браузеры.
Вскоре представители 2K Games подтвердили факт атаки и компрометацию собственной поддержки:
«Нам стало известно, что неавторизованная третья сторона незаконно получила доступ к учетным данным одного из наших поставщиков от платформы службы поддержки, которую 2K использует для поддержки клиентов, — сообщили представители компании. — Эта неавторизованная сторона отправила сообщения некоторым игрокам, содержащие вредоносную ссылку. Пожалуйста, не открывайте никакие электронные письма и не нажимайте на какие-либо ссылки, которые вы получаете от учетной записи службы поддержки 2K Games».
Всем пользователям, которые кликнули по вредоносным ссылкам мошенников, срочно рекомендуется сбросить все пароли от учетных записей, хранящиеся в браузере, включить многофакторную аутентификацию, установить антивирусное ПО и проверить, не появилось ли какой-нибудь странной переадресации в почте.
Портал поддержки 2K Games временно отключен, а в компании уже проводят расследование инцидента. О возобновлении работы поддержки пользователей обещают уведомить отдельно.
Интересно, что 2K Games, как и ранее пострадавшая от взлома Rockstar Games, является дочерней компанией Take-Two Interactive, одного из крупнейших издателей видеоигр в Америке и Европе. К тому же хакер, взломавший Rockstar, уже взял на себя ответственность за недавнюю атаку на Uber. Вероятно, компрометация 2K Games тоже может оказаться связана с этой чередой взломов, но официальных комментариев на этот счет пока не поступало.
