Des cybercriminels utilisent des copies piratées de Battlefield 6 pour diffuser des logiciels malveillants. On peut se demander pourquoi télécharger une copie illégale du jeu d'EA DICE alors qu'il s'agit d'un jeu en ligne. Il propose également une campagne solo, ce qui attire des joueurs qui ne souhaitent pas jouer en multijoueur. Des escrocs ont créé de fausses versions de Battlefield 6 qu'ils distribuent via des sites de torrents et d'autres plateformes de jeux piratés.  Pour gagner en crédibilité, les escrocs se font passer pour des groupes de pirates informatiques réputés comme InsaneRamZes et RUNE. Trois types de logiciels malveillants ont été développés, chacun ayant un objectif spécifique. Certains servent à voler des données de navigation, des informations de portefeuilles de cryptomonnaies, et d'autres encore à prendre le contrôle à distance des systèmes infectés.

D'autres logiciels malveillants visaient à voler les identifiants de connexion à des applications comme Discord et aux portefeuilles de cryptomonnaies, ainsi qu'à analyser l'activité des utilisateurs de Chrome et Firefox. Comme on peut le constater, le champ d'action de ce logiciel malveillant est vaste, et pourtant il ne cible qu'un seul jeu populaire. Ce sont les chercheurs en cybersécurité de Bitdefender qui ont découvert cette campagne. Ils ont analysé les fichiers et constaté qu'aucun ne permettait aux utilisateurs de jouer à Battlefield 6.  L'un des logiciels malveillants fonctionnait de manière simple et volait des informations en se faisant passer pour un programme d'installation de Battlefield 6. Malheureusement, le site web depuis lequel nous pouvions télécharger ce virus était facilement accessible via une recherche Google, ce qui augmentait considérablement le risque qu'il soit installé par des joueurs non avertis.

Une fois lancé, le logiciel malveillant analysait les dossiers locaux et les profils de navigation pour dérober les données des portefeuilles de cryptomonnaies, les cookies de Chrome, Edge et Firefox, les informations de l'application Discord et les données des portefeuilles de cryptomonnaies stockées dans les extensions de navigateur. Ces données étaient ensuite envoyées à un serveur où elles étaient stockées sans aucun chiffrement. La seconde variante du logiciel malveillant, distribuée sous le nom « Battlefield 6.GOG-InsaneRamZes », était nettement plus sophistiquée. Elle intégrait des fonctionnalités bloquant l'exécution en cas de détection d'une langue russe ou d'un pays de la CEI. L'outil utilisait également des techniques de masquage exploitant des fonctionnalités de Windows, ce qui le rendait difficile à détecter par les logiciels antivirus.  De plus, l'analyse de la mémoire a indiqué que le logiciel malveillant pourrait avoir été conçu pour voler des données de développeur, telles que des clés API ou des données d'accès aux outils de développement.

La troisième variante du logiciel malveillant, dissimulée sous l'apparence d'une image ISO de Battlefield 6, installait un agent de contrôle à distance. Le fichier de 25 Mo contenait des données qui, une fois décompressées, créaient le fichier « 2GreenYellow.dat » dans le répertoire de l'utilisateur. Ce fichier était exécuté à l'aide de l'utilitaire regsvr32.exe, permettant ainsi le contrôle du système à distance. La communication avec la machine infectée s'effectuait via l'infrastructure de Google, afin de masquer l'activité du logiciel malveillant. Comme nous pouvons le constater, les cybercriminels ne restent pas inactifs ; vous devriez donc utiliser uniquement des plateformes de jeux légales et officielles et télécharger des fichiers à partir de celles-ci, et pas seulement pour ce jeu.