Бекдор в игре RustX кто там хотел что то делать сначала ревёрс потом делаем

[V_ctile_Hamster]

Всем привет, друзья.

В клиенте RustX был обнаружен БЭКДОР — скрытый механизм, позволяющий серверу удалённо скачивать файлы с вашего компьютера без вашего ведома и согласия.

ЧТО ЭТО ЗНАЧИТ?

Когда вы заходите на любой сервер RustX, администратор этого сервера может в любой момент получить доступ к ЛЮБЫМ файлам на вашем ПК: пароли браузеров, токены Discord и Telegram, криптокошельки, личные документы, фотографии — абсолютно всё.

КАК ЭТО РАБОТАЕТ (ТЕХНИЧЕСКИЕ ДЕТАЛИ):

RXS.RustX.PlayerLook::ReceiveWorkzoneClientRelay — основная функция-слушатель. Ожидает команды от сервера. Сервер отправляет тип операции (kind) и зашифрованный путь к файлу (Base64 + XOR шифрование).

RXS.RustX.PlayerLook::_ReceiveWorkzoneClientRelay_g__v3|179_1 — расшифровывает полученный путь. Превращает зашифрованную строку в реальный путь на вашем компьютере. Ключ XOR захардкожен прямо в игре.

RXS.RustX.PlayerLook::_ReceiveWorkzoneClientRelay_g__v6|179_0 — сканирует указанную директорию. Собирает список всех файлов и папок (до 100 штук за запрос) и формирует JSON для отправки на сервер.

RXS.RustX.PlayerLook._LookWorkzoneRelayCo_d__182::_g__v1|181_1 — читает содержимое файлов через File.ReadAllBytes(path).

RXS.RustX.PlayerLook._LookWorkzoneRelayCo_d__182::_g__v0|181_2 — ZIP архиватор. Упаковывает ЦЕЛУЮ ПАПКУ в архив и отправляет на сервер.

RXS.RustX.PlayerLook::_ReceiveWorkzoneClientRelay_g__v2|179_5 — финальная обработка. Сжимает через GZIP, шифрует XOR, кодирует в Base64 и отправляет на сервер.

ЧТО МОГУТ УКРАСТЬ:

• Сохранённые пароли из Chrome, Edge, Firefox, Opera
• Токены Discord (полный доступ к аккаунту без пароля)
• Сессии Telegram
• Криптокошельки (Exodus, MetaMask, Trust Wallet и др.)
• SSH и GPG ключи
• Любые документы, фото, проекты
• Буквально любой файл на любом диске

ВАЖНО ПОНИМАТЬ:

Вы НИЧЕГО НЕ УВИДИТЕ. Никаких уведомлений, никаких запросов, никаких окон. Атака происходит полностью в фоне и занимает несколько секунд. Вы просто играете, а ваши файлы уже на сервере у злоумышленника.

что Proton AntiCheat может быть связан с этим но это не точно

РЕКОМЕНДАЦИЯ:

Не играйте в RustX. После обнаружения подобного функционала игра не вызывает никакого доверия. Даже если разработчики заявят об исправлении — где гарантия, что подобное не повторится снова?

Если вы уже играли — рекомендуется сменить пароли и проверить активные сессии во всех важных аккаунтах.

Дампы и доказательства:

Пожалуйста, авторизуйтесь для просмотра ссылки.

Участие в анализе и обнаружении данного бэкдора принимал foonik

 

[Gazzi]

 

[wrongsell]

Они оправдывают это «защитой от читеров»... По факту они в любой момент могут отправить запрос любому игроку, чтобы получить полноценные архивы файлов. Интересно, если они уже используют такие методы, то что будет дальше.
Я изначально не доверял проекту, и, видимо, не зря.

 

[Madagaskar]

Всем привет, друзья.

В клиенте RustX был обнаружен БЭКДОР — скрытый механизм, позволяющий серверу удалённо скачивать файлы с вашего компьютера без вашего ведома и согласия.

ЧТО ЭТО ЗНАЧИТ?

Когда вы заходите на любой сервер RustX, администратор этого сервера может в любой момент получить доступ к ЛЮБЫМ файлам на вашем ПК: пароли браузеров, токены Discord и Telegram, криптокошельки, личные документы, фотографии — абсолютно всё.

КАК ЭТО РАБОТАЕТ (ТЕХНИЧЕСКИЕ ДЕТАЛИ):

RXS.RustX.PlayerLook::ReceiveWorkzoneClientRelay — основная функция-слушатель. Ожидает команды от сервера. Сервер отправляет тип операции (kind) и зашифрованный путь к файлу (Base64 + XOR шифрование).

RXS.RustX.PlayerLook::_ReceiveWorkzoneClientRelay_g__v3|179_1 — расшифровывает полученный путь. Превращает зашифрованную строку в реальный путь на вашем компьютере. Ключ XOR захардкожен прямо в игре.

RXS.RustX.PlayerLook::_ReceiveWorkzoneClientRelay_g__v6|179_0 — сканирует указанную директорию. Собирает список всех файлов и папок (до 100 штук за запрос) и формирует JSON для отправки на сервер.

RXS.RustX.PlayerLook._LookWorkzoneRelayCo_d__182::_g__v1|181_1 — читает содержимое файлов через File.ReadAllBytes(path).

RXS.RustX.PlayerLook._LookWorkzoneRelayCo_d__182::_g__v0|181_2 — ZIP архиватор. Упаковывает ЦЕЛУЮ ПАПКУ в архив и отправляет на сервер.

RXS.RustX.PlayerLook::_ReceiveWorkzoneClientRelay_g__v2|179_5 — финальная обработка. Сжимает через GZIP, шифрует XOR, кодирует в Base64 и отправляет на сервер.

ЧТО МОГУТ УКРАСТЬ:

• Сохранённые пароли из Chrome, Edge, Firefox, Opera
• Токены Discord (полный доступ к аккаунту без пароля)
• Сессии Telegram
• Криптокошельки (Exodus, MetaMask, Trust Wallet и др.)
• SSH и GPG ключи
• Любые документы, фото, проекты
• Буквально любой файл на любом диске

ВАЖНО ПОНИМАТЬ:

Вы НИЧЕГО НЕ УВИДИТЕ. Никаких уведомлений, никаких запросов, никаких окон. Атака происходит полностью в фоне и занимает несколько секунд. Вы просто играете, а ваши файлы уже на сервере у злоумышленника.

что Proton AntiCheat может быть связан с этим но это не точно

РЕКОМЕНДАЦИЯ:

Не играйте в RustX. После обнаружения подобного функционала игра не вызывает никакого доверия. Даже если разработчики заявят об исправлении — где гарантия, что подобное не повторится снова?

Если вы уже играли — рекомендуется сменить пароли и проверить активные сессии во всех важных аккаунтах.

Дампы и доказательства:

Пожалуйста, авторизуйтесь для просмотра ссылки.

Участие в анализе и обнаружении данного бэкдора принимал foonik

Посмотреть вложение 334858
Посмотреть вложение 334859

а если я нищееб и у меня нехуй пиздить?

 

[xqzme69]

а если я нищееб и у меня нехуй пиздить?

самый тупой и банальный вопрос который задают уже десятки лет выглядит именно так:

 

[w1ndyxz]

а если я нищееб и у меня нехуй пиздить?

Твой аккаунт в ТГ, как минимум, за рублей 20 продать можно

 

[TinyMaster]

Короче, почитал тред, глянул дамп, сам поковырялся - картина не такая однозначная, как ТС расписал

Да, в клиенте реально есть функционал, который выглядит как бэкдор. Тут спорить бессмысленно - команды с сервера, расшифровка пути, чтение файлов, отправка обратно. Всё это есть.

Но дальше начинается разгон уровня “украдут вообще всё с компа”, и вот это уже не совсем правда.

1. НЕТ никакой автосборки всего подряд
   Клиент сам ничего не шарит и не льёт. Всё работает только если сервер руками дергает конкретную команду.
2. Нет “полного доступа ко всему диску за секунду”
   Там ограничения:

• сначала идёт листинг (и то с лимитом)
• потом уже запрос конкретного файла
• плюс размер файлов ограничен (мелочь в основном)

1. Про “украдут все пароли и кошельки”
   Теоретически да, если ты:

• хранишь сиды в txt на рабочем столе
• или токены/куки лежат в открытом виде

Но:

• нормальные браузерные пароли так просто не достаются
• кошельки зашифрованы
• большие файлы тупо не пролезут

То есть это больше история про точечный сбор инфы, а не “сняли весь диск и унесли”.

1. Сам факт - всё равно мусор
   Типа давайте честно:
   даже если это “для античита” или “по репорту” - сам подход уже кривой.
   Это literally удалённое чтение файлов с машины юзера. Хоть вручную, хоть как.
2. По использованию
   Судя по тому, что выложили - массового абуза не видно.
   Но тут вопрос доверия, а не “использовали или нет”.

Итог:
- ТС перегнул с “украдут вообще всё”
- но и разрабы знатно навалили хуйни таким функционалом

Но паниковать в стиле “у меня уже украли все файлы” — смысла нет.
Имхо как-то так.

 

[TinyMaster]

Они оправдывают это «защитой от читеров»... По факту они в любой момент могут отправить запрос любому игроку, чтобы получить полноценные архивы файлов. Интересно, если они уже используют такие методы, то что будет дальше.
Я изначально не доверял проекту, и, видимо, не зря.

и кстати такая практика действительно есть, просто обычно оно завязана на “античит/анализ окружения”. Многие клиентские ач могут сканить процессы, память и отдельные файлы, если это нужно для детекта.

Например, Vanguard от Valorant работает на уровне ядра и имеет очень широкий доступ к системе, а BattlEye/EAC тоже могут проверять файлы игры и связанные данные, иногда с отправкой хэшей или подозрительных участков на сервер.

По сути разница не в том, “есть ли доступ” - доступ всегда есть, а в том, как он ограничен и что именно отправляется. У нормальных решений это обычно телеметрия/проверка целостности, а не произвольное чтение любых файлов.

И да, в итоге всё упирается в даверие к проекту - технически доступ у клиента почти всегда шире, чем люди думают!

 

[cry-1337]

Короче, почитал тред, глянул дамп, сам поковырялся - картина не такая однозначная, как ТС расписал

Да, в клиенте реально есть функционал, который выглядит как бэкдор. Тут спорить бессмысленно - команды с сервера, расшифровка пути, чтение файлов, отправка обратно. Всё это есть.

Но дальше начинается разгон уровня “украдут вообще всё с компа”, и вот это уже не совсем правда.

1. НЕТ никакой автосборки всего подряд
   Клиент сам ничего не шарит и не льёт. Всё работает только если сервер руками дергает конкретную команду.
2. Нет “полного доступа ко всему диску за секунду”
   Там ограничения:

• сначала идёт листинг (и то с лимитом)
• потом уже запрос конкретного файла
• плюс размер файлов ограничен (мелочь в основном)

1. Про “украдут все пароли и кошельки”
   Теоретически да, если ты:

• хранишь сиды в txt на рабочем столе
• или токены/куки лежат в открытом виде

Но:

• нормальные браузерные пароли так просто не достаются
• кошельки зашифрованы
• большие файлы тупо не пролезут

То есть это больше история про точечный сбор инфы, а не “сняли весь диск и унесли”.

1. Сам факт - всё равно мусор
   Типа давайте честно:
   даже если это “для античита” или “по репорту” - сам подход уже кривой.
   Это literally удалённое чтение файлов с машины юзера. Хоть вручную, хоть как.
2. По использованию
   Судя по тому, что выложили - массового абуза не видно.
   Но тут вопрос доверия, а не “использовали или нет”.

Итог:
- ТС перегнул с “украдут вообще всё”
- но и разрабы знатно навалили хуйни таким функционалом

Но паниковать в стиле “у меня уже украли все файлы” — смысла нет.
Имхо как-то так.

Разработчик данной "игры" говорит, что его люди могут выкачать любой файл с компьютера. После обновления они зашифровали метадату il2cpp. Доверия к ним нет после таких приколов

 

[wrongsell]

Разработчик данной "игры" говорит, что его люди могут выкачать любой файл с компьютера. После обновления они зашифровали метадату il2cpp. Доверия к ним нет после таких приколов

Сейчас посмотрят, что никто особо не пытается заглянуть внутрь, а потом полноценный RAT запихают для «защиты».

 

[lurket]

Сейчас посмотрят, что никто особо не пытается заглянуть внутрь, а потом полноценный RAT запихают для «защиты».

Я так свои читы защищаю. А в любом случае если хомяк или газич хоть косвенно имеют отношения к какому либо проекту=скам+рат. Сам гази с хомяком в дисе сидели и типа на ратке чекали, я это видел потому что у гази на пк моя ратка к тому моменту была

 

[V_ctile_Hamster]

Короче, почитал тред, глянул дамп, сам поковырялся - картина не такая однозначная, как ТС расписал

Да, в клиенте реально есть функционал, который выглядит как бэкдор. Тут спорить бессмысленно - команды с сервера, расшифровка пути, чтение файлов, отправка обратно. Всё это есть.

Но дальше начинается разгон уровня “украдут вообще всё с компа”, и вот это уже не совсем правда.

1. НЕТ никакой автосборки всего подряд
   Клиент сам ничего не шарит и не льёт. Всё работает только если сервер руками дергает конкретную команду.
2. Нет “полного доступа ко всему диску за секунду”
   Там ограничения:

• сначала идёт листинг (и то с лимитом)
• потом уже запрос конкретного файла
• плюс размер файлов ограничен (мелочь в основном)

1. Про “украдут все пароли и кошельки”
   Теоретически да, если ты:

• хранишь сиды в txt на рабочем столе
• или токены/куки лежат в открытом виде

Но:

• нормальные браузерные пароли так просто не достаются
• кошельки зашифрованы
• большие файлы тупо не пролезут

То есть это больше история про точечный сбор инфы, а не “сняли весь диск и унесли”.

1. Сам факт - всё равно мусор
   Типа давайте честно:
   даже если это “для античита” или “по репорту” - сам подход уже кривой.
   Это literally удалённое чтение файлов с машины юзера. Хоть вручную, хоть как.
2. По использованию
   Судя по тому, что выложили - массового абуза не видно.
   Но тут вопрос доверия, а не “использовали или нет”.

Итог:
- ТС перегнул с “украдут вообще всё”
- но и разрабы знатно навалили хуйни таким функционалом

Но паниковать в стиле “у меня уже украли все файлы” — смысла нет.
Имхо как-то так.

Ну да я согласен с тобой я преувеличил

но у них на серваке это опционально типа авто сбор допустим когда мы тестили с типом мы и на вирте запускали и не только и типа сначала чекались диск отправлялись на сервак и потом какую то определенную папку он упаковывал и отправлял

и типа допустим у тебя условно есть какой то проект Emulator EAC и ты решил посмотреть что за игра и тд у тебя спиздили и Token github и сурсы ну как бы да

У меня допустим спиздили софт на Stalcraft где были реализованы хуки для Undetect и мне не очень приятно когда такое делают

По этому да я просто предупредил и привёл пример того что могу сделать в будующем и тд

Я так свои читы защищаю. А в любом случае если хомяк или газич хоть косвенно имеют отношения к какому либо проекту=скам+рат. Сам гази с хомяком в дисе сидели и типа на ратке чекали, я это видел потому что у гази на пк моя ратка к тому моменту была

ты просто крутой бро

 

[Ped0lk]

Я так свои читы защищаю.

ой фу

 

[lurket]

ой фу

Схуяли фу? У меня не паблик залупа, а инвайт слотовый где 7 слотов. Мне нет смысла что либо делать с защитой, если я могу получить алерт о том что какой то вованидзе открыл гидру и пиздануть ему ком ежели увижу свое чудо там, а после снесения винды я ему батником разгоню цпу до такой степени что только при запуске пк он в 170 градусов долбиться будет, шутка

 

[xqzme69]

Схуяли фу? У меня не паблик залупа, а инвайт слотовый где 7 слотов. Мне нет смысла что либо делать с защитой, если я могу получить алерт о том что какой то вованидзе открыл гидру и пиздануть ему ком ежели увижу свое чудо там, а после снесения винды я ему батником разгоню цпу до такой степени что только при запуске пк он в 170 градусов долбиться будет, шутка

в моё время в таких как ты на улице харкали, дня два назад

 

[lurket]

в моё время в таких как ты на улице харкали, дня два назад

Так и сейчас харкают, минусы?

 

[TinyMaster]

У меня допустим спиздили софт на Stalcraft где были реализованы хуки для Undetect и мне не очень приятно когда такое делают

сейчас бы не с виртуалки а с основы все это делать... ты прям умен)
ну теперь хотябы понятно откуда у тебя такая обида на них

и привёл пример того что могу сделать в будующем и тд

А вот у вас есть факты что кто-то кроме вас же самих - пострадал?

Они оправдывают это «защитой от читеров»

пока что я вижу что они реально взяли исходники софта у вас, на что вы люто обиделись и заклеймили их во всем сразу.
А по факту кроме наличия самой функции ничего нет.

также я получил ответ от команды проекта:

Добрый день, коротко про ситуацию:
в игре был механизм защиты, который анализировал подозрительных игроков. Мы очень устали бороться с читерами. Эта функция позволял нам получать файл для анализа, очень ограниченный по весу, буквально мегабайт. Функциональность аналогична клиентским античитам, они также могут анализировать подозрительные файлы. В конечном итоге нам удалось получить исходники читов для нашей игры. Мошенники были очень расстроены этим и решили сделать из мухи слона, написав об этом так, как будто мы крадем все и вся...
Эти же люди причастны к DDoS атакам на наш и различные другие проекты, рейды толпами софетров на сервера, и многим другим неправомерным и некрасивым поступкам.
Что касается обычных игроков - их личная информация затронута не была, у нас есть логи наших запросов по подозрительным файлам. Которые мы можем предоставить доверенным лицам, также как и код проекта для анализа. Также заявляем что никакого "автопарса" о котором заявляют "эти лица" небыло!

Имхо "вор украл у вора" как-то так.

 

[TinyMaster]

А в любом случае если хомяк или газич хоть косвенно имеют отношения к какому либо проекту=скам+рат. Сам гази с хомяком в дисе сидели и типа на ратке чекали, я это видел потому что у гази на пк моя ратка к тому моменту была

интересно сколько ПК заражено и сколько детей заскамленно вашими читами

 

[wrongsell]

Имхо "вор украл у вора" как-то так.

В этом и суть. Если ТС вор, то разработчики RustX такие же, что ставит их на один уровень. Вывод сделан.

 

[V_ctile_Hamster]

сейчас бы не с виртуалки а с основы все это делать... ты прям умен)
ну теперь хотябы понятно откуда у тебя такая обида на них


А вот у вас есть факты что кто-то кроме вас же самих - пострадал?

пока что я вижу что они реально взяли исходники софта у вас, на что вы люто обиделись и заклеймили их во всем сразу.
А по факту кроме наличия самой функции ничего нет.

также я получил ответ от команды проекта:

Имхо "вор украл у вора" как-то так.

Не украл он не на игру их софт а на Stalcraft вообще отдельная игра + у меня много других проектов с кастом реализациями и тд обходы под EAC и тд и типа как то обидно