Хакеры отправляют геймерам RedLine через систему поддержки издателя игр 2K

Хакеры отправляют геймерам RedLine через систему поддержки издателя игр 2K

Хакеры отправляют геймерам RedLine через систему поддержки издателя игр 2K

Компания 2K, дистрибьютор и издатель интерактивных игр и развлекательного софта, стала жертвой киберпреступников, взломавших систему поддержки пользователей. Через эту систему злоумышленники отправляют любителям видеоигр знаменитую вредоносную программу RedLine.

Напомним, что именно 2K была издателем ряда крупных игровых проектов, среди которых можно отметить NBA 2K, Borderlands, WWE 2K, PGA Tour 2K, Bioshock, Civilization и Xcom.

Клиентам 2K вчера начали приходить письма, в которых утверждалось, что они оформили запрос в службу техподдержки на площадке 2ksupport.zendesk.com. Параллельно в Twitter и на Reddit появились сообщениями с жалобами от пользователей, которые утверждали, что они не отправляли никаких запросов.

Сразу после первого письма геймеры получили второе. В нём пользователей уведомляли об ответе на их обращение в службу поддержки от некоего сотрудника под именем “Prince K“. К этим письмам было прикреплено вложение в виде архива “2K Launcher.zip“, в котором якобы содержался новый лончер игры.

«Благодарим за ваше обращение в поддержку 2K! Новый лончер для игр от нашего издания вы найдёте во вложении», — гласили уведомления, на пример которых можно посмотреть ниже.

 

В отправленном ZIP-архиве содержался исполняемый файл “2K Launcher.exe“ весом 107 МБ. Если посмотреть на свойства этого файла, становится понятно, что он не от 2K. Например, в глаза сразу бросается отсутствие цифровой подписи.

 

Антивирусные движки на VirusTotal говорят нам о том, что пришедший файл является не чем иным, как инфостилером RedLine. Анализ файла 2K Launcher.exe, проведённый специалистами BleepingComputer, раскрыл директории, которые атакует вредонос после проникновения в систему:

 

Если вы столкнулись с подозрительными письмами из техподдержки 2K, а тем более — запускали что-либо из вложений, эксперты настоятельно рекомендуют проверить систему антивирусными средствами.

Telegram MCP-сервер fast-mcp-telegram пустил атакующих к телеграм-сессии

В fast-mcp-telegram нашли критическую уязвимость под идентификатором CVE-2026-52830: хотели защититься токенами bearer, а в итоге превратили токен в путь к файлу. В результате атакующий может получить доступ к MCP-сессии Telegram по HTTP без валидного закрытого токена.

Fast-mcp-telegram — это MCP-сервер, который подключает телеграм-аккаунты к ИИ-ассистентам и HTTP-клиентам через сессионную модель аутентификации.

В версиях до 0.19.0 включительно проверка токена устроена так: сервер берёт строку из Authorization: Bearer, добавляет к ней .session, склеивает с директорией сессий и проверяет, существует ли такой файл.

Проблема в том, что токен не нормализуется как безопасный идентификатор. Код запрещает некоторые зарезервированные имена, например telegram, но не блокирует слеши, «..», абсолютные пути и другие конструкции.

Вместо закрытого ключа сервер фактически принимает относительный путь в файловой системе. Отличный подарок для атакующего, плохая новость для владельца телеграм-аккаунта.

В типичной конфигурации дефолтная сессия лежит в файле ~/.config/fast-mcp-telegram/telegram.session. Прямой токен telegram отклоняется, но обходной вариант вроде ../fast-mcp-telegram/telegram может схлопнуться файловой системой в тот же самый файл. Если файл существует, сервер принимает такой токен и аутентифицирует атакующего как дефолтный телеграм-аккаунт.

После этого злоумышленник может читать и отправлять сообщения, вызывать MTProto API и использовать доступные инструменты, привязанные к этой сессии. Защита на уровне префиксов инструментов тут уже не спасает: она срабатывает после аутентификации, а дверь к аккаунту к тому моменту уже открыта.

Уязвимость затрагивает fast-mcp-telegram до версии 0.19.0 включительно. В версии 0.19.1 разработчики ужесточили проверку и начали обращаться с bearer-токенами как с непрозрачными идентификаторами, а не как с кусками пути.

Администраторам рекомендуют срочно обновиться, ротировать дефолтные и старые session-файлы, а также проверить логи на подозрительные bearer-значения со слешами и «…».

RSS: Новости на портале Anti-Malware.ru