MALWARE FIVEM

iKaros · 20 Oct 2023

Buenas, muchos sabéis que tengo una empresa de servidores, no voy a publicitarla ya bastante por culo di, solo quería poneros en contexto que he evidenciado muchos casos de clientes infectados.

El contenido pirata NO ES GRATIS Y NUNCA LO SERÁ, siempre trae consecuencias y entre estas, encriptar tus archivos para pedir un rescate, minar, ataques DDOS. Solo hago este post para avisar a los programadores y dueños de servidores, tener cuidado con lo que usáis. Nosotros hemos tenido que hacer malabares para quitar malware de encriptación (cosa que no tenemos porque hacer), es posible que perdáis todo por ahorrar 50 € de mierda.

pvtoari · 20 Oct 2023

¿Qué tiene que ver FiveM?

iKaros · 20 Oct 2023

pvtoari dijo:
¿Qué tiene que ver FiveM?

Que como digo en el post, como proveedor de servicios me estoy dando cuenta que la mitad de mis clientes tienen malware por usar leaks de FiveM.

pvtoari · 20 Oct 2023

iKaros dijo:
Que como digo en el post, como proveedor de servicios me estoy dando cuenta que la mitad de mis clientes tienen malware por usar leaks de FiveM.

Si te soy honesto, yo que estoy puesto en la escena, me parece raro que un PC se infecte con código de FiveM. Los scripts suelen estar programados en LUA y evidentemente sin compilar. Las acciones que se usan en los frameworks o en la misma base de servidor de CitizenFX no tienen acceso ni permisos para escribrir datos fuera de la memoria reservada para el servidor.

Si se han infectado habrá sido por instalar otra mierda en la VPS, pero estoy seguro de que por usar recursos lekeados no se va a infectar el SO, siempre y cuando no estemos hablando de ejecutables (que me siguen pareciendo redundantes ya que en mi vida he visto un recurso de FiveM compilado).

iKaros · 20 Oct 2023

pvtoari dijo:
Si te soy honesto, yo que estoy puesto en la escena, me parece raro que un PC se infecte con código de FiveM. Los scripts suelen estar programados en LUA y evidentemente sin compilar. Las acciones que se usan en los frameworks o en la misma base de servidor de CitizenFX no tienen acceso ni permisos para escribrir datos fuera de la memoria reservada para el servidor.

Si se han infectado habrá sido por instalar otra mierda en la VPS, pero estoy seguro de que por usar recursos lekeados no se va a infectar el SO, siempre y cuando no estemos hablando de ejecutables (que me siguen pareciendo redundantes ya que en mi vida he visto un recurso de FiveM compilado).

Desconozco lo que hace el cliente porque no monitoreamos su servicio por cuestiones obvias, pero están infectados y todos relacionados con FiveM, posiblemente no por descargar una script, pero si por otros programas relacionados con lo mismo.

Frenchmember · 20 Oct 2023

pvtoari dijo:
Si te soy honesto, yo que estoy puesto en la escena, me parece raro que un PC se infecte con código de FiveM. Los scripts suelen estar programados en LUA y evidentemente sin compilar. Las acciones que se usan en los frameworks o en la misma base de servidor de CitizenFX no tienen acceso ni permisos para escribrir datos fuera de la memoria reservada para el servidor.

Si se han infectado habrá sido por instalar otra mierda en la VPS, pero estoy seguro de que por usar recursos lekeados no se va a infectar el SO, siempre y cuando no estemos hablando de ejecutables (que me siguen pareciendo redundantes ya que en mi vida he visto un recurso de FiveM compilado).

Brother, nadie a dicho que sea codigo de FiveM. Esta haciendo referencia a gente que en vez de comprar algo legit en la Maquina prefieren meter leaks o free's. La mayoria de ellos son ejecutables como has dicho al final y eso causa todo el problema.

alberto64674yt · 20 Oct 2023

iKaros dijo:
Desconozco lo que hace el cliente porque no monitoreamos su servicio por cuestiones obvias, pero están infectados y todos relacionados con FiveM, posiblemente no por descargar una script, pero si por otros programas relacionados con lo mismo.

no sera algun .exe de fivem? yo uso modmenus de gta v online y estos vienen o una de dos o mediante inyeccion de dll o mediante un cliente.exe que en mi caso abria un mod menu externo que funcionaba in game en mi caso a pesar de ser chetos free sabia que estaban limpios por que los analice mucho en unos portatiles viejos que tengo que uso de laboratorio + algunos test hechos en vps y vm´s pero vaya que si hay cosas asi de gta normal de fivem capaz

LinceCrypt · 20 Oct 2023

iKaros dijo:
Buenas, muchos sabéis que tengo una empresa de servidores, no voy a publicitarla ya bastante por culo di, solo quería poneros en contexto que he evidenciado muchos casos de clientes infectados.

El contenido pirata NO ES GRATIS Y NUNCA LO SERÁ, siempre trae consecuencias y entre estas, encriptar tus archivos para pedir un rescate, minar, ataques DDOS. Solo hago este post para avisar a los programadores y dueños de servidores, tener cuidado con lo que usáis. Nosotros hemos tenido que hacer malabares para quitar malware de encriptación (cosa que no tenemos porque hacer), es posible que perdáis todo por ahorrar 50 € de mierda.

Vaya putadón, espero que hayas conseguido quitar todo con éxito y no te haya puteado mucho los servidores

pvtoari · 20 Oct 2023

iKaros dijo:
Desconozco lo que hace el cliente porque no monitoreamos su servicio por cuestiones obvias, pero están infectados y todos relacionados con FiveM, posiblemente no por descargar una script, pero si por otros programas relacionados con lo mismo.

Frenchmember dijo:
Brother, nadie a dicho que sea codigo de FiveM. Esta haciendo referencia a gente que en vez de comprar algo legit en la Maquina prefieren meter leaks o free's. La mayoria de ellos son ejecutables como has dicho al final y eso causa todo el problema.

alberto64674yt dijo:
no sera algun .exe de fivem? yo uso modmenus de gta v online y estos vienen o una de dos o mediante inyeccion de dll o mediante un cliente.exe que en mi caso abria un mod menu externo que funcionaba in game en mi caso a pesar de ser chetos free sabia que estaban limpios por que los analice mucho en unos portatiles viejos que tengo que uso de laboratorio + algunos test hechos en vps y vm´s pero vaya que si hay cosas asi de gta normal de fivem capaz

Lo que os digo y repito, para mantener un servidor de FiveM no se necesitan más ejecutables que los gestores de bases de datos (popularmente Heidi), el propio ejecutable para abrir el servidor de FiveM y poco más. Chetear en FiveM dentro de una VPS no tiene sentido, es que no le veo ni pies ni cabeza xD los leaks insisto que no traen virus, los clientes que están infectados por FiveM tienen que haber estado haciendo alguna otro gilipollez

iKaros · 20 Oct 2023

pvtoari dijo:
Lo que os digo y repito, para mantener un servidor de FiveM no se necesitan más ejecutables que los gestores de bases de datos (popularmente Heidi), el propio ejecutable para abrir el servidor de FiveM y poco más. Chetear en FiveM dentro de una VPS no tiene sentido, es que no le veo ni pies ni cabeza xD los leaks insisto que no traen virus, los clientes que están infectados por FiveM tienen que haber estado haciendo alguna otro gilipollez

No me gusta mucho dar detalles sobre cómo detectamos estas amenazas ya que como todo, esto puede leerlo cualquiera y saber qué protocolos utilizamos para detectar estas amenazas, lo que si puedo detallarte es, que uno de los virus más populares actualmente se conoce como 'Moda'. Tiene permisos completos de administrador una vez se ejecuta por el iniciador del FiveM (si lo inicias en modo admin) infectado el equipo. Un script si es posible realmente ejecutar malware en tu equipo. Date cuenta de esto, estás ejecutando un .exe para iniciarlo, en el script pueden poner líneas por ejemplo, de al iniciarse descargar en X ruta Y archivos.

Lo más heavy que he llegado a solucionar ha sido una encriptación del disco virtual del cliente, después de bastante tiempo se le ha conseguido recuperar todo, pero tuvo que resetear al completo la VM, una vez infectada nosotros no podemos ni garantizamos hacerlo, ya que es algo más complejo que darle a un botón, solo podemos recuperar los datos y analizarlos exaustivamente.

Realmente es muy fácil hacer esto, no hace falta que el propio archivo tenga el virus, puede simplemente hacer que se descargue. Mi recomendación es no usar leaks, pero ya de usarlos, ojear el código.

pvtoari · 20 Oct 2023

iKaros dijo:
No me gusta mucho dar detalles sobre cómo detectamos estas amenazas ya que como todo, esto puede leerlo cualquiera y saber qué protocolos utilizamos para detectar estas amenazas, lo que si puedo detallarte es, que uno de los virus más populares actualmente se conoce como 'Moda'. Tiene permisos completos de administrador una vez se ejecuta por el iniciador del FiveM (si lo inicias en modo admin) infectado el equipo. Un script si es posible realmente ejecutar malware en tu equipo. Date cuenta de esto, estás ejecutando un .exe para iniciarlo, en el script pueden poner líneas por ejemplo, de al iniciarse descargar en X ruta Y archivos.

Lo más heavy que he llegado a solucionar ha sido una encriptación del disco virtual del cliente, después de bastante tiempo se le ha conseguido recuperar todo, pero tuvo que resetear al completo la VM, una vez infectada nosotros no podemos ni garantizamos hacerlo, ya que es algo más complejo que darle a un botón, solo podemos recuperar los datos y analizarlos exaustivamente.

Realmente es muy fácil hacer esto, no hace falta que el propio archivo tenga el virus, puede simplemente hacer que se descargue. Mi recomendación es no usar leaks, pero ya de usarlos, ojear el código.

Ver el archivo adjunto 26042

Pues honestamente es la primera vez que veo una infección por un recurso de FiveM, me parece una locura y a la vez una gilipollez por parte de los owners de los servidores de Fivem eso de no revisar el código xD!! Por desgracia es muy común dumpear otros servers y lekearlos entre ellos, así de tóxica es esa comunidad. Lo que decía sobre los scripts es que, que yo sepa, los límites de los scripts que se usan en FiveM no escapan más que crear algún JSON o documento de texto, mis dieces al creador de ese virus porque la verdad es un puto genio. Suerte con la recuperación de los equipos

MALWARE FIVEM

🏴‍☠️ Consigue una invitación al foro para poder registrarte 🏴‍☠️

✅ Informática · Redes sociales y Emprendimiento · Trading/Forex · Criptomonedas · Códigos y ofertas ✅

iKaros

Ahora soy un gato

pvtoari

Attempt to call a nil value

iKaros

Ahora soy un gato

pvtoari

Attempt to call a nil value

iKaros

Ahora soy un gato

Frenchmember

Miembro muy activo

alberto64674yt

< Todo En Esta Vida Son Unos y Ceros />

LinceCrypt

Tu lince confiable

pvtoari

Attempt to call a nil value

iKaros

Ahora soy un gato

pvtoari

Attempt to call a nil value