Свыше тысячи онлайн-обманщиков неожиданно для себя поверили в карму.
Разработчик EvolvedAim, популярного чита для игры Escape From Tarkov, недавно оказался в центре большого скандала. Как оказалось, вместе со своим читом, предлагаемым по платной подписке, предприимчивый программист тайно распространял ещё и вредоносное ПО, похищающее информацию у пользователей.
Escape From Tarkov — это хардкорный военный симулятор, привлекающий внимание как честных игроков, так и читеров. Программа EvolvedAim предлагает пользователям множество функций, таких как автоматическая торговля и тренировка навыков. Разработчик EvolvedAim какое-то время весьма успешно вёл свой бизнес, давал рекламу на форумах и использовал систему подписок для доступа к своему продукту, однако недавно его бизнес-идиллия канула в Лету.
История с внедрением чита началась с того, что разработчик EvolvedAim, известный как Mythical, начал сотрудничество с владельцем некого крупного форума по читам для Tarkov. В течение года обе стороны получали стабильный доход. Однако позже между ними возник конфликт, когда Mythical решил уменьшить долю прибыли форума. Затем представители форума заметили подозрительные попытки входа в свои аккаунты и утечку скриншотов рабочего стола. Сопоставив факты, они пришли к выводу, что Mythical внедрил в свой продукт вредоносную программу для кражи данных.
Мошенничество с использованием читов в онлайн-играх — далеко не редкость, однако в данном случае последствия оказались куда серьёзнее перманентного бана. Так как EvolvedAim использовался в основном взрослыми пользователями, украденная с их устройств информация запросто могла быть использована хакерами для доступа к личным ресурсам, а также к корпоративным данным компаний, в которых трудились нечестные геймеры.
Технический анализ EvolvedAim, проведённый экспертами из CyberArk, показал, что чит был написан на Python 3.10 и конвертирован в исполняемый файл с помощью библиотеки PyInstaller. Используя различные инструменты для извлечения и декомпиляции кода, было обнаружено, что EvolvedAim содержал вредоносный код, работающий параллельно с основными функциями чита.
При запуске EvolvedAim запрашивал лицензионный ключ, однако информация пользователя сразу начинала передаваться злоумышленникам. Вредоносный код, замаскированный под безобидные процессы, собирал пароли и cookie из популярных браузеров. Также вредонос похищал файлы из криптокошелька MetaMask и делал скриншоты рабочего стола. Собранные данные затем отправлялись на Mega.nz и уведомляли злоумышленников через Discord.
Ситуация усугублялась тем, что многие пользователи EvolvedAim намеренно отключали антивирус или добавляли процесс чита в исключения, так как знали, что любой софт, вмешивающийся в работу других программ, сразу вызывает ответную реакцию защитного ПО. Поэтому и шанса спасти свои данные у нечестных игроков попросту не было.
Когда обман Mythical раскрылся, разработчика читов заблокировали на всех игровых форумах, с которыми он сотрудничал. По предварительным оценкам, жертвами злоумышленника стали чуть более тысячи человек. Сейчас программа EvolvedAim больше не функционирует, её сервер в Discord закрыт, а разработчик прекратил свою деятельность.
Данный случай показывает, что использование читов может обернуться серьёзными последствиями. Пользователи не только платят за доступ к читу, но и рискуют потерять свои личные данные, параллельно подвергая опасности корпоративные ресурсы, к которым у них есть доступ.
Code:
<pre class="alt2" dir="ltr" style="
margin: 0px;
padding: 6px;
border: 1px solid rgb(0, 0, 0);
width: 640px;
height: 34px;
text-align: left;
overflow: auto;
background: rgb(37, 37, 37) none repeat scroll 0% 0%;
border-radius: 5px;
font-size: 11px;
text-shadow: none;">https://www.cyberark.com/resources/threat-research-blog/double-dipping-cheat-developer-gets-caught-red-handed</pre>