Анализ показывает, что угроза заключается в атаках путем внедрения DLL, направленных на кражу информации из криптовалютного кошелька Exodus. Злоумышленник разместил вредоносный файл DLL (fastmath.dll) в директории мода Traffic, который подгружается исполняемым файлом игры при запуске на целевой машине. Вредоносный DLL-файл является первой стадией цепочки вредоносного ПО.
После загрузки исполняемым файлом игры начинается вторая стадия активности вредоносного ПО,
где DLL ищет криптовалютные кошельки Exodus на компьютере внутри локальной папки AppData.
Если у пользователей на устройствах нет криптовалютных кошельков Exodus, на них не повлияет вторая фаза атаки.
Только мод «Traffic» был затронут. Мы подтвердили, что учетная запись автора мода «Traffic» была скомпрометирована, и вредоносная загрузка произошла из неавторизованного источника. Учетная запись теперь защищена, и дальнейшего вмешательства в их работу не ожидается.
Если вы не запускали игру с версией мода Traffic, содержащей загруженную и установленную DLL, вы полностью не пострадали. Если у вас нет криптовалютного кошелька Exodus на компьютере, вредоносное ПО не должно было навредить.
Мы рекомендуем вручную удалить вспомогательный файл DLL, расположенный по следующему пути: C:\Users\\AppData\Local\exodus\app-\profapi.dll
Для получения дополнительной информации, если ваш кошелек Exodus был скомпрометирован, обратитесь к их FAQ.
Для общих мер безопасности, связанных с Exodus, пожалуйста, обратитесь к их официальному руководству: Профилактика безопасности Exodus.
Хотя мы прикладываем все усилия, чтобы минимизировать риски, всегда существует определенный риск при загрузке мода, который изменяет содержимое программы, независимо от используемой платформы для распространения. Мы не можем гарантировать, что инциденты с вредоносными программами не произойдут, так как они постоянно эволюционируют и могут адаптироваться быстрее, чем инструменты обнаружения. Полная предотвращения таких инцидентов требовала бы запрета и удаления всех код-модов, чего мы предпочли бы избежать. Мы знаем, что наши игроки делятся творческой, замечательной работой с нами и с нашим сообществом, и мы намерены поддерживать это.
Каждый мод, загружаемый на Paradox Mods, проходит сканирование, но важно отметить, что эти инструменты, хотя и тщательные, не могут предложить полную защиту из-за быстрого развития вредоносных программ. Мы активно изучаем, как можем дальше внедрять меры безопасности вокруг публикации модов, чтобы достичь правильного баланса между безопасностью и удобством.
Мы призываем пользователей проявлять осторожность при использовании код-модов. Мы глубоко ценим тех, кто сообщает о любой подозрительной активности или обновлениях модов; если вы заметите что-то необычное, пожалуйста, нажмите на кнопку отчета по соответствующему моду на платформе Paradox Mods.
Кроме того, всегда держите ваш межсетевой экран и антивирусное программное обеспечение установленными и обновленными.