Malware disfarçado de Battlefield 6 distribui stealers e agentes C2 | Riscos e Ameaças

Pesquisadores da Bitdefender identificaram três famílias de malware distribuídas como versões piratas e trainers de Battlefield 6: stealers que exfiltram cookies, tokens e dados de carteiras (para 198.251.84.9 via HTTP), variantes com evitação (regional blocking, API hashing) e agentes persistentes que instalam DLLs e contactam ei-in-f101.1e100.net.

Pesquisadores da Bitdefender Labs identificaram campanhas que usam versões piratas e “trainers” falsos do jogo Battlefield 6 para distribuir três famílias distintas de malware: stealers de credenciais e carteiras, variantes com técnicas de evasão avançadas e agentes com comando e controle persistente.

Como a isca é distribuída

Os atores colocam arquivos disfarçados como builds, cracks e trainers em sites de torrent e fóruns subterrâneos. As amostras analisadas não contêm qualquer funcionalidade legítima do jogo, servindo apenas como isca para induzir instalação pelo usuário.

Técnicas e indicadores observados

A análise da Bitdefender descreve três perfis de amostra:

um information stealer simples, apresentado como “Battlefield 6 Trainer Installer”, que pesquisa perfis de navegador e diretórios locais para coletar dados como credenciais, cookies de navegadores (Chrome, Edge, Firefox), tokens de Discord e dados de extensões de carteiras (por exemplo iWallet, Yoroi). A exfiltração foi observada para o servidor 198.251.84.9 via HTTP sem criptografia.
uma variante “Battlefield 6.GOG-InsaneRamZes” com evitação mais sofisticada: bloqueio de execução em configurações regionais russas/CIS, hashing de APIs do Windows para ofuscação e checagens anti-sandbox por análise de temporização (uptime).
um instalador disfarçado como imagem ISO de Battlefield 6 — um executável de ~25MB que descomprime e cria um arquivo "2GreenYellow.dat" no diretório do usuário e o executa silenciosamente via regsvr32.exe. Essa DLL instalada tenta contato repetido com ei-in-f101.1e100.net, possivelmente usando infraestrutura do Google como relay/disfarce.

Escopo e risco

As amostras mostram capacidades para roubo de credenciais e carteiras de cripto, além de estabelecer persistência e canais C2 que podem permitir execuções remotas futuras ou exfiltração continuada. A presença de referências a ferramentas de desenvolvimento como Postman e BitBucket em memória sugere interesse em credenciais de desenvolvedores e chaves de API para ataques subsequentes.

Práticas de defesa recomendadas

Com base nas observações da Bitdefender, medidas imediatas incluem:

evitar instalações de software pirata;
bloquear e analisar executáveis baixados de fontes não oficiais;
monitorar conexões HTTP de endpoints para servidores desconhecidos e capturar tráfego não criptografado;
proteger extensões de carteira e credenciais de navegador com políticas de endpoint e autenticação multifator;
inspecionar execuções via regsvr32 e outras técnicas de living-off-the-land que carregam DLLs silenciosamente.

Limitações

A divulgação da Bitdefender detalha comportamento e alguns indicadores (IP e domínio observado), mas as fontes não oferecem uma lista exaustiva de IOC nem atribuição a grupos específicos. Não há indicação, nas fontes consultadas, de contagens de vítimas ou alcance global dessas campanhas além das amostras analisadas.

Exfiltração observada para 198.251.84.9 via HTTP e contatos repetidos com ei-in-f101.1e100.net, segundo Bitdefender Labs.