Comodo AV Labs tunnistaa tietojenkalasteluyrityksiä kohdistavat pelaajat

Lukuaika: 6 pöytäkirja

Osallistujat: Ionel Pomana, tuomari Kevin
Videopelillä on ollut tärkeä rooli tietokoneiden historiassa, ja ne ovat merkittävä syy niiden suosioon kuluttajatuotteena. Perheillä oli videopelien pelaajia kotonaan kauan ennen heidän henkilökohtaisia ​​tietokoneita. Mahdollisuus tarjota verkkosivustoja, jotka toistavat paremmin erillisten ohjelmistojen kokemuksia, on parantunut dramaattisesti viime vuosina, joten ei ole yllättävää, että online-pelaamista koskevat verkkosivustot ovat myös nousseet.

Ebizmba.com: n mukaan pelaamista suosituin verkkosivusto on ign.com, jolla on hämmästyttävä 20 miljoonan kuukauden kävijä. Itse asiassa kaikki 15 parhaan listan sivustot ylittävät 1.5 miljoonaa kävijää kuukaudessa. Ei ole myöskään yllättävää, että rikolliset hakkerit yrittävät käyttää hyväkseen suosionsa huonoihin ohjelmiin.

Yleiskatsaus

Tällaisten järjestelmien päätavoitteita ovat pelit, jotka toimitetaan suositun pelien jakelualustan Steamin kautta. Näitä pelejä voidaan pelata offline-tilassa tai verkossa muiden ihmispelaajien kanssa tai niitä vastaan. Valitettavasti online-pelaajilla voi olla myös "pelaajien" yritys, josta he eivät ole tietoisia: rikollisten kalastajat ja haittaohjelmien kirjoittajat.

Joissakin peleissä on ns. Pelin sisäisiä tuotteita, joita pelaajat käyttävät pelikokemuksen parantamiseksi. Nämä esineet ostetaan pelin aikana oikealla rahalla, ja niiden hinta voi vaihdella muutamasta sentistä useisiin satoihin dollareihin. Pelaajat käyttävät niitä pelissä, vaihtavat niitä muihin esineisiin tai myyvät muille pelaajille ”yhteisön markkinoilla”.

Tämä tarkoittaa, että pelaajien tili voi olla rikas palkinto, jos petokset vaarantavat sen.

Haittaohjelmat, jotka yrittävät vaarantaa pelitilejä, eivät ole jotain uutta, mutta Comodo antivirus Labs on tunnistanut uuden lähestymistavan, jota rikolliset käyttävät kaappaamaan Steamin toimittamien pelien tilit. Tämä artikkeli ja seuraavat tiedot antavat pelaajille tietoisuuden tällaisista uhista ja toivottavasti välttää niitä.

Tietokalastelusanoma

Kaikki alkaa viestillä, joka vastaanotetaan tuntemattomalta henkilöltä pelin viestijärjestelmän kautta. Käyttäjää pyydetään erilaisista syistä seuraamaan hyperlinkkiä.

Hakkerin ensisijainen tavoite on saada pelaajan online-pelaustiedot.

Hyperlinkki vie käyttäjän sivulle, joka muistuttaa laillista verkkosivustoa, mutta on itse asiassa hakkereiden suunnittelema tietojenkalastelusivu. Meidän tapauksessamme linkitetty verkkotunnus on hyvin samanlainen kuin laillisen kolmannen osapuolen sivusto pelin kohteiden kauppaa varten, mutta vain kahdella kirjaimella, jotka on vaihdettu verkkotunnuksessa.

Käyttäjä voi helposti erehtyä sen tunnettuun lailliseen sivustoon.

Tietokalastelusivustot

Kun linkki on avattu, se näyttää kopion laillisesta kauppapaikasta ja tarjoaa erittäin houkuttelevan ja kannattavan kaupan tarjouksen. Katso alla olevaa näytön tulosta:

Lakillisella kaupan verkkosivustolla kaupatarjoukseen voidaan vastata kirjautumalla sisään pelitilisi kanssa OpenID-protokollan avulla. Kun käyttäjä haluaa kirjautua sisään, hänet ohjataan pelin myyjän verkkosivustoon, jossa hän kirjautuu sisään ja vahvistaa haluavansa kirjautua sisään myös kolmannen osapuolen verkkosivustolle.

Sitten hänet ohjataan takaisin kaupankäyntisivustolle, jossa hän on nyt kirjautunut sisään ja voi aloittaa haluamansa kaupan tai vastata siihen. Kuitenkin tietojenkalastelusivusto tilanne on hiukan erilainen.

Kun pelaaja osuu kirjautumispainikkeeseen, häntä ei ohjata pelin myyjän verkkosivustolle, vaan sivulle, joka on hyvin samankaltainen kuin toimittajan samalla verkkotunnuksella oleva sivusto, johon käyttäjää pyydetään antamaan tilitiedot.

Vihje, että tämä ei ole laillinen sivusto, on se SSL ei ole käytössä. Aina kun olet verkkosivustolla, joka pyytää sinua antamaan henkilökohtaisia ​​tietoja, älä tee sitä, ellet ole vahvistanut, että osoiterivillä lukee “https”Eikä vain“ http ”eikä lukkokuvake tule näkyviin. Jokainen laillinen online-liiketoiminta mahdollistaa SSL koska se suojaa käyttäjiä suojatulla viestinnällä.

Tässä tapauksessa, kun käyttäjän ja salasanan tiedot lähetetään, kirjautumistoimia ei suoriteta. Sen sijaan toimitetut valtakirjat lähetetään rikollisille, jotka ovat suunnitelleet tietojenkalastelusivusto.

Huijauksen vaihe II

Monet samanlaiset tietojen kalasteluuns, kuten pankkien käyttäjille, lopettaisi tässä käyttäjän kirjautumistietojen varkauden. Valitettavasti tämä huijaus menee ylimääräisen mailin.

Kun käyttöoikeustiedot on toimitettu ja varastettu, ponnahdusikkuna ilmoittaa käyttäjälle, että “pelin vartija” on otettava käyttöön tietokonejärjestelmässä voidakseen kirjautua sisään. Oikea “Steam Guard” on joukko turvatoimenpiteitä (mukaan lukien kaksifaktorinen todennus), jotka pelimyyjä on ottanut käyttöön tilien haltuunottojen ja valtakirjojen varkausten estämiseksi.

Tässä tapauksessa rikolliset houkuttelevat käyttäjää suorittamaan haittaohjelman, nimeltään “Steam Activation Application.exe”. Tietokalastelusivusto verkkosivusto lataa sen heti, kun ponnahdusikkuna tulee näkyviin.

Kuten alla nähdään, vahingollista sovellusta ei isännöidä kyseisessä verkkotunnuksessa, vaan Google Drivessa.

Kun se suoritetaan, sovellus lukee rekisteriavaimesta polun, jossa Steam-asiakasohjelma sijaitsee.
HKEY_LOCAL_MACHINESoftwareValveSteamInstallPath

Luettuasi sijainnin, se alkaa etsiä kaikkia tiedostoja, joiden nimi alkaa merkkijonolla “ssfn”.

Kun tiedosto, joka alkaa ”ssfn”, löytyy, sisältö luetaan ja binaaritiedot muutetaan muistiin pelkkänä heksadesimaalina.

Tämä tehdään, jotta troijalainen sovellus voi varastaa tiedoston lähettämällä sen POST-menetelmällä web-palvelimelle, joka sijaitsee osoitteessa 82.146.53.11.

Jos lähetys onnistui, sovellus näyttää viestin, jossa lukee “Sinulla on nyt pääsy Steam-tilillesi tästä tietokoneesta!”, Muuten se näyttää viestin, että virhe on tapahtunut:
Tilin aktivoinnissa tapahtui virhe (levyn lukemisvirhe)

Näyttämisen jälkeen onnistumis- tai virheviestin troijalainen suorittaa cmd.exe-tiedoston “del” -parametrilla poistaakseen itsensä. Tällä tavoin se yrittää poistaa jälkensä järjestelmästä, jotta käyttäjä ei epäile mitään kyseenalaista toimintaa.

Mikä on ssfn *-tiedostojen varastamisen tarkoitus?
Nämä tiedostot sisältävät Steam-tilitiedot ja kaksifaktoriset todennustiedot. Kun tiedosto asetetaan Steamin kansioon toisessa järjestelmässä, kaksifaktorista todennustunnusta ei enää tarvita, jokaisella vastaavaa tiedostoa käyttävällä henkilöllä on pääsy tilille tiedostosta, jolla on täydet käyttöoikeudet.

Tällä tavoin peleihin pääsee käsiksi ja niitä voidaan pelata, pelissä olevat tavarat (jotkut voivat olla erittäin kalliita) varastettu tai vaihdettu Casjiksi, tapahtumahistoria katsottu tai jopa tilin kirjautumistiedot ja sähköpostiosoite voidaan muuttaa siten, että alkuperäinen omistaja et voi enää käyttää tiliä tai edes palauttaa sitä.

Kuinka estää tilien haltuunotot

Seuraavat ohjeet koskevat tätä huijausta, mutta myös suurimpaa osaa tietojenkalasteluhuijauksista:

• Valppaus on paras puolustus:
  Älä napsauta linkkejä, jotka on saatu muukalaisilta, tai edes epäilyttäviä linkkejä ystäviltä, ​​jotka saattavat olla kaappaajien uhreja. Varmista, että suorittamasi kirjautumisprosessi on suoritettu SSL-yhteensopivat verkkosivustot kautta https-protokolla, verkkosivustot, jotka todistavat henkilöllisyytensä tällä tavalla. Tarkista verkkotunnusten nimet epäilyttävien virheiden varalta.
• Käyttää suojattu DNS palvelu:
  Kaikkien järjestelmien tulisi käyttää suojattua DNS-palvelua, kuten Comodo Secure DNS Se varoittaa sinua tietojenkalasteluyrityksistä.
• Käytä vankkaa tietoturvaohjelmistoa palomuuri ja edistynyt haittaohjelmien suojaus:
  Varmista, että olet asentanut Comodo Internet Security voidakseen olla suojattu haittaohjelmilta jotka saattavat tavoittaa järjestelmääsi.

Analysoitu binäärinen

SHA1: 339802931b39b382d5ed86a8507edca1730d03b6
MD5: b205e685886deed9f7e987e1a7af4ab9
tunnistus: TrojWare.Win32.Magania.STM

Liittyvät resurssit:

ALOITA ILMAINEN KOKEILU SAA VAKAA TURVALLISUUSKORTTI ILMAISEKSI