De officiële software van populaire online-games blijkt besmet met malware. Het downloaden van de installer of van updates bezorgt de nietsvermoedende gebruiker dan een Trojan. Met die software kunnen kwaadwillenden dan pc’s van hun slachtoffers overnemen, waarschuwt beveiligingsleverancier Trend Micro. De ingebakken besmetting is nu onthuld op beveiligingsconferentie Hacks in Taiwan (HITCON).

Netjes besmetting verbergen

De aanvallers hebben zich vooral gericht op Aziatische gamers en daarvoor internetaanbieder en game-distributeur Garena gehackt. Daar werd de voorbesmette software dan aangeboden, compleet met correcte hash voor de bestandscontrole. Getroffen gamers hebben niets van de besmetting gemerkt omdat de malafide gamesoftware niet alleen een Trojan binnenbrengt. Het downloadt ook netjes de legitieme gamesoftware plus een schoonmaaktool die de besmette installer vervangt door de legitieme. Uiteindelijk zijn er maar twee malafide bestanden terug te vinden: NtUserEx.dll en NtUserEx.dat. Deze worden beide wel door Trend Micro gedetecteerd als backdoorsoftware (met als naam BKDR_PLUGX.ZTBL-EC). De infectie is sinds eind december opgeruimd.

Het gaat om de games League of Legends (LoL) en Path of Exile (PoE), maar Trend Micro heeft eerder ook voetbalgame FIFA Online 3 genoemd als slachtoffer van de malware. Die laatstgenoemde is plots verdwenen uit de officiële blogpost van het securitybedrijf maar wordt wel genoemd in de berichten én links van diverse media. De hyperlink komt gewoon uit op de blogpost waarin nu alleen de twee games LoL en PoE worden genoemd. Daarbij staat er nog wel de restantformulering “Varianten van de remote access Trojan (RAT) PlugX zijn gevonden in de officiële releases van de drie games”. Het is niet duidelijk waarom FIFA Online 3 is ‘verdwenen’.