Comodo AV Labs identificerer phishing-svindel, der er målrettet mod spillere

Læsetid: 6 minutter

Bidragydere: Ionel Pomana, Kevin dommer
Videospil har spillet en vigtig rolle i computernes historie og er en væsentlig årsag til deres popularitet som forbrugerprodukt. Familier havde videospilspillere i deres hjem længe før de havde personlige computere. Evnen til at levere websteder, der i højere grad kopierer oplevelsen af ​​selvstændig software er blevet dramatisk forbedret i de seneste år, så det er ingen overraskelse, at websteder til onlinespil har også boomet.

Ifølge ebizmba.com er det bedste spillewebsted ign.com med forbløffende 20 millioner månedlige besøgende. Faktisk overstiger alle webstederne på deres top 15-liste 1.5 millioner besøgende om måneden. Det er heller ingen overraskelse, at kriminelle hackere forsøger at udnytte deres popularitet til ondsindede skemaer.

Oversigt

De vigtigste mål for sådanne ordninger er spil, der leveres gennem Steam, en populær spilleveringsplatform. Disse spil kan spilles offline eller online, med eller mod andre menneskelige spillere. Desværre kan online-spillere også have selskab af "spillere", som de ikke er opmærksomme på: kriminelle phishere og malware-forfattere.

Nogle spil har såkaldte "in-game items", som spillere bruger til at forbedre spiloplevelsen. Disse genstande købes under spillet med rigtige penge, og deres pris kan variere fra et par cent til flere hundrede dollars. Spillere bruger dem i spillet, bytter dem til andre genstande eller sælger dem til andre spillere på et "fællesskabsmarked".

Dette betyder, at en spillerkonto kan være en rig præmie, hvis den bliver kompromitteret af svindlere.

Malware, der forsøger at kompromittere spilkonti er ikke noget nyt, men Comodo antivirus Labs har identificeret en ny tilgang, som kriminelle bruger til at kapre konti fra Steam-leverede spil. Denne artikel og de følgende oplysninger er givet for at gøre spillere opmærksomme på sådanne trusler og forhåbentlig undgå dem.

Phishing-meddelelsen

Det hele starter med en besked modtaget fra en ukendt person via spillets beskedsystem. Brugeren bliver af forskellige årsager bedt om at følge et hyperlink.

Det primære mål for hackeren er at opnå spillerens online spillegitimationsoplysninger.

Hyperlinket fører brugeren til et websted, der ligner et legitimt websted, men i virkeligheden er en phishing-side designet af hackerne. I vores tilfælde er det linkede domænenavn meget lig et legitimt tredjepartswebsted til handel med spilgenstande, men med kun to bogstaver ændret i domænenavnet.

Brugeren kan nemt forveksle det med det velkendte legitime websted.

Phishing-siderne

Når linket er åbnet, viser det en kopi af den legitime handelsside med et meget attraktivt og rentabelt handelstilbud. Se skærmprintet nedenfor:

På det legitime handelswebsted kan et byttetilbud besvares ved at logge ind med din spilkonto ved hjælp af OpenID-protokollen. Når en bruger vil logge på, bliver han omdirigeret til spillets leverandørs hjemmeside, hvor han logger ind og bekræfter, at han også vil logge ind på tredjepartswebstedet.

Han bliver derefter omdirigeret tilbage til handelswebstedet, hvor han nu er logget ind og kan starte eller reagere på enhver handel, han ønsker. Dog på phishing-websted situationen er lidt anderledes.

Når spilleren trykker på log-in-knappen, bliver han ikke omdirigeret til spilleverandørens hjemmeside, men til en side, der ligner leverandørens en på samme domæne, hvor brugeren bliver bedt om at indtaste sine kontooplysninger.

En anelse om, at dette ikke er et legitimt websted, er det SSL er ikke aktiveret. Hver gang du er på et websted, der beder dig om at indtaste personlige oplysninger, skal du ikke gøre det, medmindre du har bekræftet, at adresselinjen siger "https” i stedet for blot “http”, og at der vises et låseikon. Enhver legitim online forretning muliggør SSL fordi det beskytter sine brugere med sikker kommunikation.

I dette tilfælde, når bruger- og adgangskodedataene indsendes, udføres ingen loginhandling. I stedet sendes de indsendte legitimationsoplysninger til de kriminelle, der har lavet phishing-websted.

Fase II af fidusen

Mange lignende phishing-svindels, såsom for bankbrugere, ville stoppe her med tyveri af brugerens loginoplysninger. Desværre går denne fidus en ekstra mil.

Efter at legitimationsoplysninger er indsendt og stjålet, informerer en pop-up brugeren om, at en "game guard" skal aktiveres på computersystemet for at kunne logge ind. Den rigtige "Steam Guard" er et sæt sikkerhedsforanstaltninger (inklusive to-faktor autentificering), der er sat på plads af spilleverandøren for at forhindre kontoovertagelser og tyveri af legitimationsoplysninger.

I dette tilfælde lokker de kriminelle brugeren til at køre et ondsindet program, kaldet "Steam Activation Application.exe". Phishing-webstedet vil downloade det, så snart pop op-vinduet vises.

Som det ses nedenfor, er den ondsindede applikation ikke hostet på det respektive domæne, men på Google Drev.

Når den køres, læser applikationen fra registreringsnøglen stien, hvor Steam-klienten er placeret.
HKEY_LOCAL_MACHINESoftwareValveSteamInstallPath

Efter at have læst placeringen, begynder den at søge efter alle filer, hvis navn begynder med strengen "ssfn".

Når en fil, der starter med "ssfn", er fundet, læses indholdet, og de binære data konverteres til hukommelse i en almindelig tekst hexadecimal repræsentation.

Dette gøres for at tillade den trojanske applikation at stjæle filen ved at sende den via en POST-metode til webserveren på 82.146.53.11.

Hvis afsendelsen lykkedes, viser applikationen en meddelelse om "Du har nu adgang til din Steam-konto fra denne computer!", ellers viser den en meddelelse om, at der er opstået en fejl:
Der opstod en fejl under aktivering af kontoen (disklæsefejl)

Efter at have vist en succes- eller fejlmeddelelse, udfører trojaneren cmd.exe med parameteren "del" for at slette sig selv. På denne måde forsøger den at fjerne sine spor fra systemet, så brugeren ikke har mistanke om nogen tvivlsom aktivitet.

Hvad er formålet med at stjæle "ssfn*"-filer?
Disse filer indeholder Steam-kontodata og to-faktor godkendelsesdata. Når filen lægges ind i Steams mappe på et andet system, vil to-faktor autentificeringstoken ikke længere være påkrævet, enhver person, der bruger den respektive fil, vil have adgang til kontoen fra fil med fuld adgang.

På denne måde kan spillene tilgås og spilles, genstande i spillet (nogle som kan være meget dyre) stjålet eller byttet til penge, transaktionshistorik kan ses eller endda kontologinoplysninger og e-mailadresse kan ændres, så den oprindelige ejer vil ikke være i stand til at bruge kontoen længere eller endda gendanne den.

Hvordan man forhindrer sådanne kontoovertagelser

Følgende råd gælder for denne fidus, men også de fleste varianter af phishing-svindel:

• Årvågenhed er det bedste forsvar:
  Klik ikke på links modtaget fra fremmede eller endda mistænkelige links fra venner, der kan være ofre for flykaprere. Sørg for, at enhver login-proces, du udfører, er lavet på SSL-aktiverede websteder via https protokol, websteder, der beviser deres identitet på denne måde. Dobbelttjek domænenavne for mistænkelige uoverensstemmelser.
• Brug sikker DNS service:
  Ethvert system bør bruge en sikker DNS-tjeneste som f.eks Comodo Secure DNS der vil advare dig i tilfælde af phishing-forsøg.
• Brug en robust sikkerhedspakke med en firewall og avanceret beskyttelse af malware:
  Sørg for at du har installeret Comodo Internet Security for at være beskyttet mod malware der kan nå dit system.

Analyseret binært

SHA1: 339802931b39b382d5ed86a8507edca1730d03b6
MD5: b205e685886deed9f7e987e1a7af4ab9
Opdagelse: TrojWare.Win32.Magania.STM

Relateret ressource:

START GRATIS PRØVNING FÅ DIT ØJEBLIKKE SIKKERHEDSSCORECARD GRATIS