Comodo AV Labs identifiziert Phishing-Betrug, der auf Gamer abzielt PlatoBlockchain Data Intelligence. Vertikale Suche. Ai.

Comodo AV Labs identifiziert Phishing-Betrug, der sich an Spieler richtet

Zeitstempel: 25. Juni 2014, 12:09 Uhr

Lesezeit: 6 Minuten

Phishing-Betrug zielt auf Spieler abAnbieter: Ionel Pomana, Kevin Richter
 Videospiele haben in der Geschichte der Computer eine wichtige Rolle gespielt und sind ein wesentlicher Grund für ihre Beliebtheit als Konsumprodukt. Familien hatten Videospieler in ihren Häusern, lange bevor sie PCs hatten. Die Fähigkeit, Websites bereitzustellen, die die Erfahrung von Standalone-Software besser replizieren, hat sich in den letzten Jahren dramatisch verbessert, daher ist dies keine Überraschung Websites für Online-Spiele haben auch geboomt.

Laut ebizmba.com ist ign.com die Top-Gaming-Website mit erstaunlichen 20 Millionen monatlichen Besuchern. Tatsächlich haben alle Websites auf ihrer Top-15-Liste mehr als 1.5 Millionen Besucher pro Monat. Es ist auch keine Überraschung, dass kriminelle Hacker versuchen, ihre Popularität für schändliche Machenschaften auszunutzen.

Überblick

Hauptziele solcher Schemata sind Spiele, die über Steam, eine beliebte Plattform zur Bereitstellung von Spielen, bereitgestellt werden. Diese Spiele können offline oder online gespielt werden, mit oder gegen andere menschliche Spieler. Leider haben Online-Spieler möglicherweise auch die Gesellschaft von „Spielern“, die ihnen nicht bekannt sind: kriminelle Phisher und Malware-Autoren.

Einige Spiele haben sogenannte „In-Game-Items“, die Spieler verwenden, um das Spielerlebnis zu verbessern. Diese Gegenstände werden während des Spiels mit echtem Geld gekauft und ihr Preis kann von ein paar Cent bis zu mehreren hundert Dollar variieren. Spieler nutzen sie im Spiel, tauschen sie gegen andere Items oder verkaufen sie in einem „Community Market“ an andere Spieler.

Dies bedeutet, dass ein Spielerkonto ein reicher Preis sein kann, wenn es von Betrügern kompromittiert wird.

Malware, die versucht, Spielkonten zu kompromittieren, ist nichts Neues, aber Comodo Antivirus Labs hat einen neuen Ansatz identifiziert, mit dem Kriminelle die Konten von Steam-Spielen kapern. Dieser Artikel und die folgenden Informationen sollen Spieler auf solche Bedrohungen aufmerksam machen und sie hoffentlich vermeiden.

Die Phishing-Nachricht

Die Phishing-NachrichtAlles beginnt mit einer Nachricht, die von einer unbekannten Person über das Nachrichtensystem des Spiels empfangen wird. Der Benutzer wird aus verschiedenen Gründen aufgefordert, einem Hyperlink zu folgen.

Das Hauptziel des Hackers ist es, die Zugangsdaten des Spielers für Online-Spiele zu erlangen.

Der Hyperlink führt den Benutzer zu einer Website, die einer legitimen Website ähnelt, tatsächlich aber eine von den Hackern entworfene Phishing-Seite ist. In unserem Fall ist der verlinkte Domainname einer legitimen Website eines Drittanbieters für den Handel mit Spielgegenständen sehr ähnlich, aber mit nur zwei geänderten Buchstaben im Domainnamen.

Der Benutzer kann es leicht mit der bekannten legitimen Seite verwechseln.

Die Phishing-Sites

Sobald der Link geöffnet ist, zeigt er eine Kopie der legitimen Handelsseite mit einem sehr attraktiven und profitablen Handelsangebot an. Siehe Bildschirmausdruck unten:

Die Phishing-Sites
Auf der legitimen Handelswebsite kann auf ein Handelsangebot geantwortet werden, indem Sie sich mit Ihrem Spielkonto unter Verwendung des OpenID-Protokolls anmelden. Wenn sich ein Benutzer anmelden möchte, wird er auf die Website des Spielanbieters umgeleitet, wo er sich anmeldet und bestätigt, dass er sich auch auf der Website des Drittanbieters anmelden möchte.

Er wird dann zurück zur Handelswebsite umgeleitet, wo er jetzt eingeloggt ist und jeden gewünschten Handel initiieren oder darauf reagieren kann. Allerdings auf der Phishing-Website die situation ist etwas anders.

Phishing-WebsiteSobald der Spieler auf die Anmeldeschaltfläche klickt, wird er nicht auf die Website des Spieleanbieters umgeleitet, sondern auf eine Seite, die der des Anbieters in derselben Domain sehr ähnlich ist, wo der Benutzer aufgefordert wird, seine Kontoanmeldeinformationen einzugeben.

Ein Hinweis darauf, dass dies keine legitime Seite ist, ist das SSL ist nicht aktiviert. Jedes Mal, wenn Sie auf einer Website sind, die Sie auffordert, persönliche Informationen einzugeben, tun Sie dies nicht, es sei denn, Sie haben bestätigt, dass in der Adresszeile „https“ statt nur „http“ und dass ein Schlosssymbol angezeigt wird. Jedes legitime Online-Geschäft ermöglicht SSL weil es seine Benutzer mit gesicherter Kommunikation schützt.

In diesem Fall wird bei der Übermittlung der Benutzer- und Passwortdaten keine Anmeldeaktion durchgeführt. Stattdessen werden die eingereichten Anmeldeinformationen an die Kriminellen gesendet, die die erstellt haben Phishing-Website.

Phase II des Betrugs

Phase II des BetrugsViele ähnlich Phishing-Betrugs, etwa für Bankbenutzer, würden hier mit dem Diebstahl der Benutzerzugangsdaten aufhören. Leider geht dieser Betrug noch einen Schritt weiter.

Nachdem Anmeldeinformationen übermittelt und gestohlen wurden, informiert ein Popup den Benutzer darüber, dass ein „Game Guard“ auf dem Computersystem aktiviert werden muss, um sich anmelden zu können. Der echte „Steam Guard“ ist eine Reihe von Sicherheitsmaßnahmen (einschließlich Zwei-Faktor-Authentifizierung), die vom Spieleanbieter eingeführt wurden, um Kontoübernahmen und Anmeldedatendiebstahl zu verhindern.

In diesem Fall locken die Kriminellen den Benutzer dazu, eine bösartige Anwendung namens „Steam Activation Application.exe“ auszuführen. Die Phishing-Website lädt es herunter, sobald das Popup angezeigt wird.

Wie unten zu sehen ist, wird die Schadanwendung nicht auf der jeweiligen Domain gehostet, sondern auf Google Drive.

Quelle herunterladen
Wenn es ausgeführt wird, liest die Anwendung aus dem Registrierungsschlüssel den Pfad, in dem sich der Steam-Client befindet.
HKEY_LOCAL_MACHINESoftwareValveSteamInstallPath

Nach dem Lesen des Speicherorts beginnt es mit der Suche nach allen Dateien, deren Name mit der Zeichenfolge „ssfn“ beginnt.

dbg Leseort
Wenn eine Datei gefunden wird, die mit „ssfn“ beginnt, wird der Inhalt gelesen und die Binärdaten werden in eine Klartext-Hexadezimaldarstellung in den Speicher konvertiert.

06_dbg_search_ssfn

07_mem_convert

Dies geschieht, damit die Trojaner-Anwendung die Datei stehlen kann, indem sie sie über eine POST-Methode an den Webserver unter 82.146.53.11 sendet.

08_dbg_send
Wenn der Versand erfolgreich war, zeigt die Anwendung eine Meldung an, die besagt: „Sie haben jetzt von diesem Computer aus Zugriff auf Ihr Steam-Konto!“, andernfalls zeigt sie eine Meldung an, dass ein Fehler aufgetreten ist:
Beim Aktivieren des Kontos ist ein Fehler aufgetreten (Datenträger-Lesefehler)

09_msg_fail_success
Nach der Anzeige einer Erfolgs- oder Fehlermeldung führt der Trojaner cmd.exe mit dem Parameter „del“ aus, um sich selbst zu löschen. Auf diese Weise versucht es, seine Spuren aus dem System zu entfernen, damit der Benutzer keine fragwürdigen Aktivitäten vermutet.

10_dbg_shellexecute
Was ist der Zweck, „ssfn*“-Dateien zu stehlen?
Diese Dateien enthalten Steam-Kontodaten und Zwei-Faktor-Authentifizierungsdaten. Wenn die Datei auf einem anderen System in den Steam-Ordner abgelegt wird, ist kein Zwei-Faktor-Authentifizierungstoken mehr erforderlich, jede Person, die die entsprechende Datei verwendet, hat von der Datei aus Zugriff auf das Konto mit vollem Zugriff.

Auf diese Weise können auf die Spiele zugegriffen und gespielt werden, die Gegenstände im Spiel (von denen einige sehr teuer sein können) gestohlen oder gegen Casj eingetauscht, der Transaktionsverlauf eingesehen oder sogar die Anmeldedaten und die E-Mail-Adresse des Kontos geändert werden, damit der ursprüngliche Besitzer nicht mehr in der Lage sein, das Konto zu verwenden oder es sogar wiederherzustellen.

So verhindern Sie solche Kontoübernahmen

Die folgenden Ratschläge gelten für diesen Betrug, aber auch für die meisten Variationen von Phishing-Betrug:

  • Wachsamkeit ist die beste Verteidigung:
    Klicken Sie nicht auf Links, die Sie von Fremden erhalten haben, oder auf verdächtige Links von Freunden, die Opfer von Entführern werden könnten. Stellen Sie sicher, dass jeder von Ihnen durchgeführte Anmeldevorgang aktiviert ist SSL-fähige Websites https-Protokoll, Websites, die auf diese Weise ihre Identität nachweisen. Überprüfen Sie Domain-Namen noch einmal auf verdächtige Diskrepanzen.
  • Verwenden sicheres DNS Service:
    Jedes System sollte einen sicheren DNS-Dienst wie z Comodo Secure DNS der Sie im Falle von Phishing-Versuchen warnt.
  • Verwenden Sie eine robuste Sicherheitssuite mit a Firewall und Fortgeschrittene Malware Schutz:
    Stellen Sie sicher, dass Sie installiert haben Comodo Internet Security um zu sein vor Malware geschützt die Ihr System erreichen könnten.

Binär analysiert

SHA1: 339802931b39b382d5ed86a8507edca1730d03b6
MD5: b205e685886deed9f7e987e1a7af4ab9
Erkennung: TrojWare.Win32.Magania.STM

Verwandte Ressource:

KOSTENLOS TESTEN ERHALTEN SIE IHRE SOFORTIGE SICHERHEITSKORECARD KOSTENLOS

Zeitstempel:

Mehr von Cybersicherheit Comodo