Temps de lecture : 6 minutes
Contributeurs: Ionel Pomana, juge Kevin
Les jeux vidéo ont joué un rôle important dans l'histoire des ordinateurs et sont une raison importante de leur popularité en tant que produit de consommation. Les familles avaient des joueurs de jeux vidéo chez eux bien avant d'avoir des ordinateurs personnels. La capacité à fournir des sites Web qui reproduisent plus fidèlement l'expérience des logiciels autonomes s'est considérablement améliorée ces dernières années, il n'est donc pas surprenant que sites Web de jeux en ligne ont également explosé.
Selon ebizmba.com, le premier site Web de jeu est ign.com avec un nombre incroyable de 20 millions de visiteurs mensuels. En fait, tous les sites de leur top 15 dépassent 1.5 million de visiteurs par mois. Il n'est pas non plus surprenant que des pirates informatiques criminels tentent d'exploiter leur popularité pour des stratagèmes néfastes.
Vue d’ensemble
Les principaux objectifs de ces programmes sont les jeux fournis via Steam, une plate-forme de livraison de jeux populaire. Ces jeux peuvent être joués hors ligne ou en ligne, avec ou contre d'autres joueurs humains. Malheureusement, les joueurs en ligne peuvent également avoir la compagnie de «joueurs» qu'ils ne connaissent pas: les hameçonneurs criminels et les auteurs de logiciels malveillants.
Certains jeux ont des soi-disant «éléments dans le jeu» que les joueurs utilisent pour améliorer l'expérience de jeu. Ces articles sont achetés pendant le jeu avec de l'argent réel et leur prix peut varier de quelques cents à plusieurs centaines de dollars. Les joueurs les utilisent dans le jeu, les échangent contre d'autres objets ou les vendent à d'autres joueurs dans un «marché communautaire».
Cela signifie qu'un compte de joueur peut être un prix riche s'il est compromis par des fraudeurs.
Les logiciels malveillants qui tentent de compromettre les comptes de jeu ne sont pas quelque chose de nouveau, mais Comodo antivirus Les laboratoires ont identifié une nouvelle approche que les criminels utilisent pour détourner les comptes des jeux livrés par Steam. Cet article et les informations suivantes sont fournis pour sensibiliser les joueurs à ces menaces et, espérons-le, les éviter.
Le message de phishing
Tout commence par un message reçu d'un inconnu via le système de messagerie du jeu. L'utilisateur est invité, pour diverses raisons, à suivre un hyperlien.
L'objectif principal du pirate est d'obtenir les informations d'identification de jeu en ligne du joueur.
Le lien hypertexte emmène l'utilisateur vers un site qui ressemble à un site Web légitime, mais qui est en fait une page de phishing conçue par les pirates. Dans notre cas, le nom de domaine lié est très similaire à un site tiers légitime pour échanger des objets de jeu, mais avec seulement deux lettres modifiées dans le nom de domaine.
L'utilisateur peut facilement le confondre avec le site légitime bien connu.
Les sites de phishing
Une fois le lien ouvert, il affiche une copie du site de trading légitime avec une offre commerciale très attractive et rentable. Reportez-vous à la sérigraphie ci-dessous:
Sur le site Web commercial légitime, vous pouvez répondre à une offre commerciale en vous connectant avec votre compte de jeu à l'aide du protocole OpenID. Lorsqu'un utilisateur souhaite se connecter, il est redirigé vers le site Web du fournisseur du jeu, où il se connecte et confirme qu'il souhaite également se connecter sur le site Web tiers.
Il est ensuite redirigé vers le site de trading où il est maintenant connecté et peut initier ou répondre à tout trade qu'il souhaite. Cependant, site de phishing la situation est un peu différente.
Une fois que le joueur a cliqué sur le bouton de connexion, il n'est pas redirigé vers le site Web du fournisseur de jeux, mais vers une page très similaire à celle du fournisseur sur le même domaine, où l'utilisateur est invité à saisir les informations d'identification de son compte.
Un indice que ce n'est pas un site légitime est que SSL n'est pas activé. Chaque fois que vous consultez un site Web qui vous demande de saisir des informations personnelles, ne le faites que si vous avez confirmé que la ligne d'adresse indique "https"Au lieu de" http "et qu'une icône de verrouillage s'affiche. Chaque entreprise en ligne légitime permet SSL car il protège ses utilisateurs grâce à une communication sécurisée.
Dans ce cas, lorsque les données d'utilisateur et de mot de passe sont soumises, aucune action de connexion n'est effectuée. Au lieu de cela, les pouvoirs soumis sont envoyés aux criminels qui ont fabriqué le site de phishing.
Phase II de l'arnaque
Beaucoup similaires escroquerie phishings, comme pour les utilisateurs de banque, s'arrêteraient là avec le vol des informations de connexion de l'utilisateur. Malheureusement, cette arnaque fait un effort supplémentaire.
Une fois les informations d'identification soumises et volées, une fenêtre contextuelle informe l'utilisateur qu'un «garde de jeu» doit être activé sur le système informatique pour pouvoir se connecter. Le véritable «Steam Guard» est un ensemble de mesures de sécurité (y compris l'authentification à deux facteurs) mises en place par le fournisseur du jeu pour empêcher les prises de contrôle de compte et le vol d'informations d'identification.
Dans ce cas, les criminels incitent l'utilisateur à exécuter une application malveillante, nommée «Steam Activation Application.exe». Le site Web de phishing le télécharge dès que la fenêtre contextuelle s'affiche.
Comme indiqué ci-dessous, l'application malveillante n'est pas hébergée sur le domaine respectif, mais sur Google Drive.
Lorsqu'elle est exécutée, l'application lit à partir de la clé de registre le chemin d'accès au client Steam.
HKEY_LOCAL_MACHINESoftwareValveSteamInstallPath
Après avoir lu l'emplacement, il commence à rechercher tous les fichiers dont le nom commence par la chaîne «ssfn».
Lorsqu'un fichier commençant par «ssfn» est trouvé, le contenu est lu et les données binaires sont converties en mémoire dans une représentation hexadécimale en texte brut.
Ceci est fait pour permettre à l'application cheval de Troie de voler le fichier en l'envoyant via une méthode POST au serveur Web situé au 82.146.53.11.
Si l'envoi a réussi, l'application affiche un message indiquant «Vous avez maintenant accès à votre compte Steam depuis cet ordinateur!», Sinon elle affiche un message indiquant qu'une erreur s'est produite:
Une erreur s'est produite lors de l'activation du compte (erreur de lecture du disque)
Après avoir affiché un message de réussite ou d'erreur, le cheval de Troie exécute cmd.exe avec le paramètre «del» pour se supprimer. De cette façon, il essaie de supprimer ses traces du système afin que l'utilisateur ne soupçonne aucune activité douteuse.
Quel est le but du vol de fichiers «ssfn *»?
Ces fichiers contiennent des données de compte Steam et des données d'authentification à deux facteurs. Lorsque le fichier est placé dans le dossier Steam sur un autre système, le jeton d'authentification à deux facteurs ne sera plus requis, toute personne utilisant le fichier respectif aura accès au compte à partir du fichier avec un accès complet.
De cette façon, les jeux peuvent être consultés et joués, les éléments du jeu (certains qui peuvent être très chers) volés ou échangés contre casj, l'historique des transactions affiché ou même les informations de connexion du compte et l'adresse e-mail peuvent être modifiés de sorte que le propriétaire initial ne pourra plus utiliser le compte ni même le récupérer.
Comment empêcher de telles prises de contrôle de compte
Les conseils suivants s'appliquent à cette arnaque, mais également à la plupart des variantes des arnaques par hameçonnage:
- La vigilance est la meilleure défense:
Ne cliquez pas sur les liens reçus d'étrangers ou même sur des liens suspects d'amis qui pourraient être victimes de pirates de l'air. Assurez-vous que tout processus de connexion que vous effectuez est effectué sur Sites Web compatibles SSL via Protocole https, sites Web qui prouvent leur identité de cette manière. Vérifiez les noms de domaine pour toute incompatibilité suspecte. - Utiliser un DNS sécurisé service:
Tout système doit utiliser un service DNS sécurisé tel que Comodo Secure DNS qui vous avertira en cas de tentatives de phishing. - Utilisez une suite de sécurité robuste avec un Pare-feu et avancé protection contre les logiciels malveillants:
Assurez-vous d'avoir installé Comodo Internet Security pour être protégé contre les logiciels malveillants qui pourraient atteindre votre système.
Binaire analysé
SHA1: 339802931b39b382d5ed86a8507edca1730d03b6
MD5: b205e685886deed9f7e987e1a7af4ab9
Détection: TrojWare.Win32.Magania.STM
Ressource connexe
COMMENCER L'ESSAI GRATUIT OBTENEZ GRATUITEMENT VOTRE SCORECARD DE SÉCURITÉ INSTANTANÉE
- blockchain
- cognitif
- Nouvelles de Comodo
- portefeuilles de crypto-monnaie
- cryptoexchange
- la cyber-sécurité
- les cybercriminels
- Cybersécurité
- CyberSécurité Comodo
- département de la Sécurité intérieure
- portefeuilles numériques
- pare-feu
- Kaspersky
- malware
- Mcafee
- NexBLOC
- Message d'hameçonnage
- Sites d'hameçonnage
- site de phishing
- Platon
- platon ai
- Intelligence des données Platon
- Jeu de Platon
- PlatonDonnées
- jeu de platogamie
- DNS sécurisé
- VPN
- la sécurité d'un site web
- zéphyrnet
