В World of Warcraft появился новый способ мошенничества, основанный на перехвате функции интерфейса игры

Обычно мошенничеством в ММОРПГ занимаются при помощи социальной инженерии, например, мошенник продаёт фальшивые коды на редкие предметы за внутриигровую валюту. Обнаруженный же способ базируется не только на социальной инженерии, но и на эксплойте незадокументированной фичи интерфейса WoW.

Новая атака

Представьте следующую ситуацию: игрок, представляющийся членом известной гильдии, обещает продать вам какую-то классную вещь (которой у него скорее всего нет). Всё, что от вас требуется — ввести в чат одну строку:

Интерфейс WoW и его дополнения написаны на скриптовом языке Lua. Обе части вышеуказанного равенства являются рабочими функциями WoW Lua API. Исполнение этой строчки кода меняет поведение интерфейса.

Что делает эта команда?

  • /run  — это команда воспринимать следующий текст как скрипт Lua;
  • RemoveExtraSpaces — встроенная функция, удаляющая лишние пробелы;
  • RunScript — функция, исполняющая код Lua code (аналогично /run)

Почему это опасно?

Функция RemoveExtraSpaces применяется к каждому полученному в чате сообщению. Вышеуказанная команда заменяет эту функцию на функцию RunScript, что называется перехватом. После этого все сообщения в чате воспринимаются как код Lua и исполняются.

Ни о чём не подозревающий игрок собирается ввести злополучную строчку

Мошенник отправляет жертве сообщение

Полученное сообщение было исполнено

Этим было доказано существование уязвимости. Таким образом, этот способ чем-то похож на использование троянов.

Подробнее об этой уязвимости читайте здесь.

Источник: G DATA Security Blog