Бекдор в игре RustX кто там хотел что то делать сначала ревёрс потом делаем

[V_ctile_Hamster]

Всем привет, друзья.

В клиенте RustX был обнаружен БЭКДОР — скрытый механизм, позволяющий серверу удалённо скачивать файлы с вашего компьютера без вашего ведома и согласия.

ЧТО ЭТО ЗНАЧИТ?

Когда вы заходите на любой сервер RustX, администратор этого сервера может в любой момент получить доступ к ЛЮБЫМ файлам на вашем ПК: пароли браузеров, токены Discord и Telegram, криптокошельки, личные документы, фотографии — абсолютно всё.

КАК ЭТО РАБОТАЕТ (ТЕХНИЧЕСКИЕ ДЕТАЛИ):

RXS.RustX.PlayerLook::ReceiveWorkzoneClientRelay — основная функция-слушатель. Ожидает команды от сервера. Сервер отправляет тип операции (kind) и зашифрованный путь к файлу (Base64 + XOR шифрование).

RXS.RustX.PlayerLook::_ReceiveWorkzoneClientRelay_g__v3|179_1 — расшифровывает полученный путь. Превращает зашифрованную строку в реальный путь на вашем компьютере. Ключ XOR захардкожен прямо в игре.

RXS.RustX.PlayerLook::_ReceiveWorkzoneClientRelay_g__v6|179_0 — сканирует указанную директорию. Собирает список всех файлов и папок (до 100 штук за запрос) и формирует JSON для отправки на сервер.

RXS.RustX.PlayerLook._LookWorkzoneRelayCo_d__182::_g__v1|181_1 — читает содержимое файлов через File.ReadAllBytes(path).

RXS.RustX.PlayerLook._LookWorkzoneRelayCo_d__182::_g__v0|181_2 — ZIP архиватор. Упаковывает ЦЕЛУЮ ПАПКУ в архив и отправляет на сервер.

RXS.RustX.PlayerLook::_ReceiveWorkzoneClientRelay_g__v2|179_5 — финальная обработка. Сжимает через GZIP, шифрует XOR, кодирует в Base64 и отправляет на сервер.

ЧТО МОГУТ УКРАСТЬ:

• Сохранённые пароли из Chrome, Edge, Firefox, Opera
• Токены Discord (полный доступ к аккаунту без пароля)
• Сессии Telegram
• Криптокошельки (Exodus, MetaMask, Trust Wallet и др.)
• SSH и GPG ключи
• Любые документы, фото, проекты
• Буквально любой файл на любом диске

ВАЖНО ПОНИМАТЬ:

Вы НИЧЕГО НЕ УВИДИТЕ. Никаких уведомлений, никаких запросов, никаких окон. Атака происходит полностью в фоне и занимает несколько секунд. Вы просто играете, а ваши файлы уже на сервере у злоумышленника.

что Proton AntiCheat может быть связан с этим но это не точно

РЕКОМЕНДАЦИЯ:

Не играйте в RustX. После обнаружения подобного функционала игра не вызывает никакого доверия. Даже если разработчики заявят об исправлении — где гарантия, что подобное не повторится снова?

Если вы уже играли — рекомендуется сменить пароли и проверить активные сессии во всех важных аккаунтах.

Дампы и доказательства:

Пожалуйста, авторизуйтесь для просмотра ссылки.

Участие в анализе и обнаружении данного бэкдора принимал foonik

 

[Gazzi]

 

[wrongsell]

Они оправдывают это «защитой от читеров»... По факту они в любой момент могут отправить запрос любому игроку, чтобы получить полноценные архивы файлов. Интересно, если они уже используют такие методы, то что будет дальше.
Я изначально не доверял проекту, и, видимо, не зря.

 

[Madagaskar]

Всем привет, друзья.

В клиенте RustX был обнаружен БЭКДОР — скрытый механизм, позволяющий серверу удалённо скачивать файлы с вашего компьютера без вашего ведома и согласия.

ЧТО ЭТО ЗНАЧИТ?

Когда вы заходите на любой сервер RustX, администратор этого сервера может в любой момент получить доступ к ЛЮБЫМ файлам на вашем ПК: пароли браузеров, токены Discord и Telegram, криптокошельки, личные документы, фотографии — абсолютно всё.

КАК ЭТО РАБОТАЕТ (ТЕХНИЧЕСКИЕ ДЕТАЛИ):

RXS.RustX.PlayerLook::ReceiveWorkzoneClientRelay — основная функция-слушатель. Ожидает команды от сервера. Сервер отправляет тип операции (kind) и зашифрованный путь к файлу (Base64 + XOR шифрование).

RXS.RustX.PlayerLook::_ReceiveWorkzoneClientRelay_g__v3|179_1 — расшифровывает полученный путь. Превращает зашифрованную строку в реальный путь на вашем компьютере. Ключ XOR захардкожен прямо в игре.

RXS.RustX.PlayerLook::_ReceiveWorkzoneClientRelay_g__v6|179_0 — сканирует указанную директорию. Собирает список всех файлов и папок (до 100 штук за запрос) и формирует JSON для отправки на сервер.

RXS.RustX.PlayerLook._LookWorkzoneRelayCo_d__182::_g__v1|181_1 — читает содержимое файлов через File.ReadAllBytes(path).

RXS.RustX.PlayerLook._LookWorkzoneRelayCo_d__182::_g__v0|181_2 — ZIP архиватор. Упаковывает ЦЕЛУЮ ПАПКУ в архив и отправляет на сервер.

RXS.RustX.PlayerLook::_ReceiveWorkzoneClientRelay_g__v2|179_5 — финальная обработка. Сжимает через GZIP, шифрует XOR, кодирует в Base64 и отправляет на сервер.

ЧТО МОГУТ УКРАСТЬ:

• Сохранённые пароли из Chrome, Edge, Firefox, Opera
• Токены Discord (полный доступ к аккаунту без пароля)
• Сессии Telegram
• Криптокошельки (Exodus, MetaMask, Trust Wallet и др.)
• SSH и GPG ключи
• Любые документы, фото, проекты
• Буквально любой файл на любом диске

ВАЖНО ПОНИМАТЬ:

Вы НИЧЕГО НЕ УВИДИТЕ. Никаких уведомлений, никаких запросов, никаких окон. Атака происходит полностью в фоне и занимает несколько секунд. Вы просто играете, а ваши файлы уже на сервере у злоумышленника.

что Proton AntiCheat может быть связан с этим но это не точно

РЕКОМЕНДАЦИЯ:

Не играйте в RustX. После обнаружения подобного функционала игра не вызывает никакого доверия. Даже если разработчики заявят об исправлении — где гарантия, что подобное не повторится снова?

Если вы уже играли — рекомендуется сменить пароли и проверить активные сессии во всех важных аккаунтах.

Дампы и доказательства:

Пожалуйста, авторизуйтесь для просмотра ссылки.

Участие в анализе и обнаружении данного бэкдора принимал foonik

Посмотреть вложение 334858
Посмотреть вложение 334859

а если я нищееб и у меня нехуй пиздить?

 

[xqzme69]

а если я нищееб и у меня нехуй пиздить?

самый тупой и банальный вопрос который задают уже десятки лет выглядит именно так:

 

[w1ndyxz]

а если я нищееб и у меня нехуй пиздить?

Твой аккаунт в ТГ, как минимум, за рублей 20 продать можно

 

[TinyMaster]

Короче, почитал тред, глянул дамп, сам поковырялся - картина не такая однозначная, как ТС расписал

Да, в клиенте реально есть функционал, который выглядит как бэкдор. Тут спорить бессмысленно - команды с сервера, расшифровка пути, чтение файлов, отправка обратно. Всё это есть.

Но дальше начинается разгон уровня “украдут вообще всё с компа”, и вот это уже не совсем правда.

1. НЕТ никакой автосборки всего подряд
   Клиент сам ничего не шарит и не льёт. Всё работает только если сервер руками дергает конкретную команду.
2. Нет “полного доступа ко всему диску за секунду”
   Там ограничения:

• сначала идёт листинг (и то с лимитом)
• потом уже запрос конкретного файла
• плюс размер файлов ограничен (мелочь в основном)

1. Про “украдут все пароли и кошельки”
   Теоретически да, если ты:

• хранишь сиды в txt на рабочем столе
• или токены/куки лежат в открытом виде

Но:

• нормальные браузерные пароли так просто не достаются
• кошельки зашифрованы
• большие файлы тупо не пролезут

То есть это больше история про точечный сбор инфы, а не “сняли весь диск и унесли”.

1. Сам факт - всё равно мусор
   Типа давайте честно:
   даже если это “для античита” или “по репорту” - сам подход уже кривой.
   Это literally удалённое чтение файлов с машины юзера. Хоть вручную, хоть как.
2. По использованию
   Судя по тому, что выложили - массового абуза не видно.
   Но тут вопрос доверия, а не “использовали или нет”.

Итог:
- ТС перегнул с “украдут вообще всё”
- но и разрабы знатно навалили хуйни таким функционалом

Но паниковать в стиле “у меня уже украли все файлы” — смысла нет.
Имхо как-то так.

 

[cry-1337]

Короче, почитал тред, глянул дамп, сам поковырялся - картина не такая однозначная, как ТС расписал

Да, в клиенте реально есть функционал, который выглядит как бэкдор. Тут спорить бессмысленно - команды с сервера, расшифровка пути, чтение файлов, отправка обратно. Всё это есть.

Но дальше начинается разгон уровня “украдут вообще всё с компа”, и вот это уже не совсем правда.

1. НЕТ никакой автосборки всего подряд
   Клиент сам ничего не шарит и не льёт. Всё работает только если сервер руками дергает конкретную команду.
2. Нет “полного доступа ко всему диску за секунду”
   Там ограничения:

• сначала идёт листинг (и то с лимитом)
• потом уже запрос конкретного файла
• плюс размер файлов ограничен (мелочь в основном)

1. Про “украдут все пароли и кошельки”
   Теоретически да, если ты:

• хранишь сиды в txt на рабочем столе
• или токены/куки лежат в открытом виде

Но:

• нормальные браузерные пароли так просто не достаются
• кошельки зашифрованы
• большие файлы тупо не пролезут

То есть это больше история про точечный сбор инфы, а не “сняли весь диск и унесли”.

1. Сам факт - всё равно мусор
   Типа давайте честно:
   даже если это “для античита” или “по репорту” - сам подход уже кривой.
   Это literally удалённое чтение файлов с машины юзера. Хоть вручную, хоть как.
2. По использованию
   Судя по тому, что выложили - массового абуза не видно.
   Но тут вопрос доверия, а не “использовали или нет”.

Итог:
- ТС перегнул с “украдут вообще всё”
- но и разрабы знатно навалили хуйни таким функционалом

Но паниковать в стиле “у меня уже украли все файлы” — смысла нет.
Имхо как-то так.

Разработчик данной "игры" говорит, что его люди могут выкачать любой файл с компьютера. После обновления они зашифровали метадату il2cpp. Доверия к ним нет после таких приколов

 

[wrongsell]

Разработчик данной "игры" говорит, что его люди могут выкачать любой файл с компьютера. После обновления они зашифровали метадату il2cpp. Доверия к ним нет после таких приколов

Сейчас посмотрят, что никто особо не пытается заглянуть внутрь, а потом полноценный RAT запихают для «защиты».