Des pirates exploitent Battlefield 6 pour piéger les joueurs avec des malwares. Bitdefender dévoile une opération de grande ampleur, basée sur de fausses versions piratées.
À mesure que Battlefield 6 fait monter l’attente, des cyberattaques ciblées émergent sur la toile. Bitdefender a identifié plusieurs campagnes qui visent à diffuser des malwares déguisés en cracks ou en trainers. Les cybercriminels usurpent les noms de groupes reconnus. Ils parviennent ainsi à tromper même les joueurs les plus avertis. L’étude révèle une menace sophistiquée qui va bien au-delà du simple piratage de jeux.
Des faux trainers aux malwares furtifs
Alors que Battlefield 6 suscite l’engouement, Bitdefender révèle une série d’attaques opportunistes qui exploite cette ferveur. L’entreprise de cybersécurité a mis en lumière des versions piratées du jeu et des « trainers », ces logiciels censés donner des avantages aux joueurs, qui cachent en réalité des malwares avancés.
Ces fichiers sont largement diffusés via des sites de torrents ou bien indexés dans les résultats de recherche classiques. Ils ne contiennent aucune fonctionnalité liée au jeu. À la place, ils embarquent des voleurs de données (infostealers), des charges furtives et des agents de contrôle à distance (C2). Pour piéger les utilisateurs, les attaquants vont jusqu’à usurper les noms de groupes de cracking célèbres comme InsaneRamZes ou RUNE. Ils s’appuient sur cette notoriété pour instaurer un faux sentiment de légitimité.
Des techniques de haut vol pour piéger les curieux
Parmi les échantillons analysés, certains démontrent une complexité technique rare. L’un d’eux, déguisé sous le nom « Battlefield 6.GOG-InsaneRamZes« , intègre des techniques d’évasion régionales. Cela empêche son exécution dans les pays de la CEI. Il applique également du « API hashing » pour masquer ses fonctions système, et surveille l’environnement pour détecter d’éventuels bacs à sable d’analyse.
Un autre, présenté comme une mise à jour RUNE, cache un agent C2 capable de persister sur la machine. Comprimé dans une image ISO de 25 Mo, il exécute un fichier DLL discret. Celui-ci tente ensuite de se connecter à des domaines susceptibles de servir de relais pour des commandes distantes. Les implications sont sérieuses : l’attaquant peut potentiellement exécuter du code ou exfiltrer des données sans éveiller de soupçon.
Une menace ciblant les gamers et développeurs
Outre les joueurs imprudents, ces malwares visent aussi des cibles plus techniques. L’analyse du code révèle des tentatives de collecte de données sur des outils de développement comme Postman, CockroachDB ou FastAPI. C’est le signe que les identifiants de développeurs sont dans le viseur.
La portée de l’attaque reste difficile à quantifier, mais les torrents observés comptaient des centaines d’utilisateurs actifs. Le simple fait qu’un faux « trainer » apparaisse sur la deuxième page de Google suffit à alerter sur la diffusion massive de cette menace. Bitdefender alerte sur l’urgence d’éviter toute source non officielle et d’activer des protections comportementales en temps réel, seule ligne de défense contre des charges invisibles mais destructrices.
Article basé sur un communiqué de presse reçu par la rédaction.
