कोमोडो एवी लैब्स फ़िशिंग स्कैम टारगेटिंग गेमर की पहचान करती है

पढ़ने का समय: 6 मिनट

योगदानकर्ता: इओनेल पोमाना, केविन जज
वीडियो गेम ने कंप्यूटर के इतिहास में एक महत्वपूर्ण भूमिका निभाई है और उपभोक्ता उत्पाद के रूप में उनकी लोकप्रियता का एक महत्वपूर्ण कारण है। परिवारों के पास पर्सनल कंप्यूटर होने से बहुत पहले से उनके घरों में वीडियो गेम प्लेयर थे। स्टैंडअलोन सॉफ़्टवेयर के अनुभव को अधिक बारीकी से दोहराने वाली वेब साइटों को प्रदान करने की क्षमता में हाल के वर्षों में नाटकीय रूप से सुधार हुआ है, इसलिए यह कोई आश्चर्य की बात नहीं है कि ऑनलाइन गेमिंग वेब साइट भी उछाले हैं।

ebizmba.com के अनुसार, शीर्ष गेमिंग वेब साइट ign.com है, जिसमें आश्चर्यजनक रूप से 20 मिलियन मासिक आगंतुक हैं। वास्तव में, उनकी शीर्ष 15 सूची में सभी साइटें प्रति माह 1.5 मिलियन विज़िटर से अधिक हैं। यह भी कोई आश्चर्य की बात नहीं है कि आपराधिक हैकर नापाक योजनाओं के लिए अपनी लोकप्रियता का फायदा उठाने का प्रयास कर रहे हैं।

अवलोकन

ऐसी योजनाओं के प्रमुख लक्ष्य ऐसे गेम हैं जो एक लोकप्रिय गेम डिलीवरी प्लेटफॉर्म स्टीम के माध्यम से वितरित किए जाते हैं। इन खेलों को अन्य मानव खिलाड़ियों के साथ या उनके खिलाफ ऑफ़लाइन या ऑनलाइन खेला जा सकता है। दुर्भाग्य से, ऑनलाइन खिलाड़ियों के पास "खिलाड़ियों" की कंपनी भी हो सकती है जिनके बारे में उन्हें जानकारी नहीं है: आपराधिक फ़िशर और मैलवेयर लेखक।

कुछ खेलों में तथाकथित "इन-गेम आइटम" होते हैं जिनका उपयोग खिलाड़ी गेमिंग अनुभव को बेहतर बनाने के लिए करते हैं। इन वस्तुओं को खेल के दौरान असली पैसे से खरीदा जाता है और उनकी कीमत कुछ सेंट से लेकर कई सौ डॉलर तक हो सकती है। खिलाड़ी खेल में उनका उपयोग करते हैं, अन्य वस्तुओं के लिए उनका आदान-प्रदान करते हैं या उन्हें "सामुदायिक बाजार" में अन्य खिलाड़ियों को बेचते हैं।

इसका मतलब है कि धोखेबाजों द्वारा समझौता किए जाने पर गेमर्स अकाउंट एक समृद्ध पुरस्कार हो सकता है।

गेमिंग खातों से छेड़छाड़ करने का प्रयास करने वाला मैलवेयर कोई नई बात नहीं है, लेकिन कोमोडो एंटीवायरस लैब्स ने एक नए दृष्टिकोण की पहचान की है जिसका उपयोग अपराधी स्टीम डिलीवर गेम्स के खातों को हाईजैक करने के लिए कर रहे हैं। गेमर्स को ऐसे खतरों से अवगत कराने और उनसे बचने की उम्मीद के लिए यह लेख और निम्नलिखित जानकारी प्रदान की गई है।

फ़िशिंग संदेश

यह सब गेम के मैसेजिंग सिस्टम के माध्यम से किसी अज्ञात व्यक्ति से प्राप्त संदेश से शुरू होता है। उपयोगकर्ता को विभिन्न कारणों से हाइपरलिंक का अनुसरण करने के लिए कहा जाता है।

हैकर का प्राथमिक लक्ष्य खिलाड़ी के ऑनलाइन गेमिंग क्रेडेंशियल प्राप्त करना है।

हाइपरलिंक उपयोगकर्ता को एक ऐसी साइट पर ले जाता है जो एक वैध वेबसाइट से मिलती-जुलती है, लेकिन वास्तव में हैकर्स द्वारा डिज़ाइन किया गया एक फ़िशिंग पेज है। हमारे मामले में, लिंक किया गया डोमेन नाम ट्रेडिंग गेम आइटम के लिए एक वैध तृतीय पक्ष साइट के समान है, लेकिन डोमेन नाम में केवल दो अक्षर बदले गए हैं।

उपयोगकर्ता आसानी से इसे प्रसिद्ध वैध साइट के लिए गलती कर सकता है।

फ़िशिंग साइटें

एक बार लिंक खुलने के बाद, यह एक बहुत ही आकर्षक और लाभदायक व्यापार प्रस्ताव के साथ वैध ट्रेडिंग साइट की एक प्रति प्रदर्शित करता है। नीचे स्क्रीन प्रिंट देखें:

वैध व्यापार वेबसाइट पर, ओपनआईडी प्रोटोकॉल का उपयोग करके अपने गेम खाते से साइन इन करके एक व्यापार प्रस्ताव का जवाब दिया जा सकता है। जब कोई उपयोगकर्ता साइन इन करना चाहता है, तो उसे गेम की विक्रेता वेबसाइट पर रीडायरेक्ट किया जाता है, जहां वह लॉग इन करता है और पुष्टि करता है कि वह तीसरे पक्ष की वेबसाइट पर भी लॉगिन करना चाहता है।

उसके बाद उसे वापस ट्रेडिंग वेबसाइट पर भेज दिया जाता है जहां वह अब लॉग इन है और वह किसी भी व्यापार को शुरू या प्रतिक्रिया दे सकता है। हालांकि, पर फ़िशिंग वेबसाइट स्थिति थोड़ी अलग है।

एक बार जब गेमर साइन इन बटन दबाता है, तो उसे गेम वेंडर की वेबसाइट पर रीडायरेक्ट नहीं किया जाता है, बल्कि उसी डोमेन पर वेंडर के पेज से काफी मिलता-जुलता पेज होता है, जहां यूजर को अपना अकाउंट क्रेडेंशियल दर्ज करने के लिए कहा जाता है।

एक सुराग है कि यह एक वैध साइट नहीं है कि एसएसएल सक्षम नहीं है। जब भी आप किसी ऐसी वेब साइट पर हों जो आपसे व्यक्तिगत जानकारी दर्ज करने के लिए कहे, तब तक ऐसा न करें जब तक कि आपने पुष्टि न कर ली हो कि पता पंक्ति कहती है “hTTPS"सिर्फ "http" के बजाय और एक लॉक आइकन प्रदर्शित करता है। हर वैध ऑनलाइन व्यवसाय सक्षम करता है एसएसएल क्योंकि यह अपने उपयोगकर्ताओं को सुरक्षित संचार के साथ सुरक्षित रखता है।

इस मामले में, जब उपयोगकर्ता और पासवर्ड डेटा सबमिट किया जाता है, तो कोई लॉगिन क्रिया नहीं की जाती है। इसके बजाय जमा किए गए क्रेडेंशियल उन अपराधियों को भेजे जाते हैं जिन्होंने फ़िशिंग वेबसाइट.

घोटाले का दूसरा चरण

कई समान फ़िशिंग धोखाधड़ीs, जैसे कि बैंक उपयोगकर्ताओं के लिए, उपयोगकर्ता लॉगिन क्रेडेंशियल की चोरी के साथ यहीं रुक जाएगा। दुर्भाग्य से, यह घोटाला अतिरिक्त मील जाता है।

क्रेडेंशियल जमा करने और चोरी होने के बाद, एक पॉप-अप उपयोगकर्ता को सूचित करता है कि लॉगिन करने में सक्षम होने के लिए कंप्यूटर सिस्टम पर "गेम गार्ड" को सक्षम करने की आवश्यकता है। असली "स्टीम गार्ड" सुरक्षा उपायों का एक सेट है (दो-कारक प्रमाणीकरण सहित) खेल विक्रेता द्वारा खाता अधिग्रहण और क्रेडेंशियल चोरी को रोकने के लिए रखा गया है।

इस मामले में अपराधी उपयोगकर्ता को "स्टीम एक्टिवेशन एप्लिकेशन.एक्सई" नाम से एक दुर्भावनापूर्ण एप्लिकेशन चलाने के लिए लुभा रहे हैं। पॉप-अप प्रदर्शित होते ही फ़िशिंग वेबसाइट इसे डाउनलोड कर लेगी।

जैसा कि नीचे देखा गया है, दुर्भावनापूर्ण एप्लिकेशन संबंधित डोमेन पर नहीं, बल्कि Google ड्राइव पर होस्ट किया गया है।

जब इसे चलाया जाता है, तो एप्लिकेशन रजिस्ट्री कुंजी से उस पथ को पढ़ता है जहां स्टीम क्लाइंट स्थित है।
HKEY_LOCAL_MACHINEसॉफ़्टवेयरवाल्वस्टीमइंस्टॉलपाथ

लोकेशन पढ़ने के बाद, यह उन सभी फाइलों को खोजना शुरू कर देता है, जिनका नाम "ssfn" स्ट्रिंग से शुरू होता है।

जब "ssfn" से शुरू होने वाली फ़ाइल मिलती है, तो सामग्री पढ़ी जाती है और बाइनरी डेटा को एक सादे पाठ हेक्साडेसिमल प्रतिनिधित्व में मेमोरी में बदल दिया जाता है।

यह ट्रोजन एप्लिकेशन को 82.146.53.11 पर स्थित वेब सर्वर पर POST विधि के माध्यम से भेजकर फ़ाइल को चुराने की अनुमति देने के लिए किया जाता है।

यदि प्रेषण सफल रहा, तो एप्लिकेशन एक संदेश प्रदर्शित करता है जिसमें कहा गया है कि "अब आपके पास इस कंप्यूटर से आपके स्टीम खाते तक पहुंच है!", अन्यथा यह एक संदेश प्रदर्शित करता है कि एक त्रुटि हुई है:
खाता सक्रिय करते समय एक त्रुटि हुई (डिस्क पढ़ने में त्रुटि)

एक सफलता या त्रुटि संदेश प्रदर्शित करने के बाद, ट्रोजन cmd.exe को "del" पैरामीटर के साथ स्वयं को हटाने के लिए निष्पादित करता है। इस तरह यह सिस्टम से अपने निशान हटाने की कोशिश कर रहा है ताकि उपयोगकर्ता को किसी भी संदिग्ध गतिविधि पर संदेह न हो।

“Ssfn*” फ़ाइलें चुराने का क्या उद्देश्य है?
इन फाइलों में स्टीम अकाउंट डेटा और टू-फैक्टर ऑथेंटिकेशन डेटा होता है। जब फ़ाइल को किसी अन्य सिस्टम पर स्टीम के फ़ोल्डर में डाल दिया जाता है, तो दो-कारक प्रमाणीकरण टोकन की आवश्यकता नहीं होगी, संबंधित फ़ाइल का उपयोग करने वाले किसी भी व्यक्ति को पूर्ण पहुंच के साथ फ़ाइल से खाते तक पहुंच प्राप्त होगी।

इस तरह, गेम को एक्सेस किया जा सकता है और खेला जा सकता है, इन-गेम आइटम (कुछ जो बहुत महंगे हो सकते हैं) चोरी हो जाते हैं या कैस के लिए कारोबार किया जाता है, लेन-देन इतिहास देखा जाता है या यहां तक ​​​​कि खाता लॉगिन विवरण और ईमेल पता भी बदला जा सकता है ताकि प्रारंभिक मालिक अब खाते का उपयोग नहीं कर पाएगा या इसे पुनर्प्राप्त भी नहीं कर पाएगा।

ऐसे अकाउंट टेकओवर को कैसे रोकें

निम्नलिखित सलाह इस घोटाले पर लागू होती है, लेकिन फ़िशिंग घोटालों के अधिकांश रूपांतरों पर भी लागू होती है:

• सतर्कता सबसे अच्छा बचाव है:
  अजनबियों से प्राप्त किसी भी लिंक पर या यहां तक ​​कि उन मित्रों से भी संदिग्ध लिंक पर क्लिक न करें जो अपहर्ताओं के शिकार हो सकते हैं। सुनिश्चित करें कि आपके द्वारा की जाने वाली कोई भी लॉगिन प्रक्रिया इस पर बनी है एसएसएल-सक्षम वेबसाइटें के माध्यम से https प्रोटोकॉल, वेबसाइटें जो इस तरह से अपनी पहचान साबित करती हैं। किसी भी संदिग्ध बेमेल के लिए डोमेन नामों की दोबारा जांच करें।
• उपयोग डीएनएस को सुरक्षित करें सर्विस:
  किसी भी सिस्टम को सुरक्षित DNS सेवा का उपयोग करना चाहिए जैसे कि कॉमोडो सिक्योर डीएनएस जो आपको फ़िशिंग प्रयासों के मामले में चेतावनी देगा।
• a . के साथ एक मजबूत सुरक्षा सूट का उपयोग करें फ़ायरवॉल और उन्नत मैलवेयर सुरक्षा:
  सुनिश्चित करें कि आपने स्थापित किया है कोमोडो इंटरनेट सुरक्षा क्रम में होना मैलवेयर से सुरक्षित जो आपके सिस्टम तक पहुंच सकता है।

विश्लेषण बाइनरी

SHA1: 339802931b39b382d5ed86a8507edca1730d03b6
MD5: b205e685886deed9f7e987e1a7af4ab9
पहचान: TrojWare.Win32.Magania.STM

संबंधित संसाधन:

निशुल्क आजमाइश शुरु करें मुफ़्त के लिए अपनी सुरक्षा स्कोर प्राप्त करें