Comodo AV Labs Mengidentifikasi Penargetan Penipuan Scam Phishing

Waktu Membaca: 6 menit

Kontributor: Ionel Pomana, Hakim Kevin
Video game telah memainkan peran penting dalam sejarah komputer dan merupakan alasan penting untuk popularitas mereka sebagai produk konsumen. Keluarga memiliki pemain video game di rumah mereka jauh sebelum mereka memiliki komputer pribadi. Kemampuan untuk menyediakan situs web yang meniru pengalaman perangkat lunak mandiri telah meningkat secara dramatis dalam beberapa tahun terakhir, jadi tidak mengherankan jika situs web game online juga meledak.

Menurut ebizmba.com, situs web game teratas adalah ign.com dengan 20 juta pengunjung bulanan yang mencengangkan. Faktanya, semua situs di daftar 15 teratas mereka melebihi 1.5 juta pengunjung per bulan. Juga tidak mengherankan bahwa peretas kriminal mencoba mengeksploitasi popularitas mereka untuk skema jahat.

Ringkasan

Target utama dari skema tersebut adalah game yang dikirimkan melalui Steam, platform pengiriman game yang populer. Permainan ini dapat dimainkan secara offline atau online, dengan atau melawan pemain manusia lainnya. Sayangnya, pemain online mungkin juga ditemani "pemain" yang tidak mereka sadari: penipu kriminal dan penulis malware.

Beberapa game memiliki apa yang disebut "item dalam game" yang digunakan pemain untuk meningkatkan pengalaman bermain game. Barang-barang ini dibeli selama permainan dengan uang sungguhan dan harganya dapat bervariasi dari beberapa sen hingga beberapa ratus dolar. Pemain menggunakannya dalam game, menukarnya dengan item lain, atau menjualnya ke pemain lain di "Pasar Komunitas".

Ini berarti akun pemain bisa menjadi hadiah kaya jika dibobol oleh penipu.

Malware yang mencoba menyusup ke akun game bukanlah sesuatu yang baru, tetapi Comodo antivirus Labs telah mengidentifikasi pendekatan baru yang digunakan penjahat untuk membajak akun game yang dikirim oleh Steam. Artikel ini dan informasi berikut ini disediakan untuk membuat para gamer sadar akan ancaman tersebut dan semoga menghindarinya.

Pesan Phishing

Semuanya dimulai dengan pesan yang diterima dari individu yang tidak dikenal melalui sistem perpesanan game. Pengguna diminta, karena berbagai alasan, untuk mengikuti hyperlink.

Tujuan utama peretas adalah mendapatkan kredensial game online pemain.

Hyperlink membawa pengguna ke situs yang menyerupai situs resmi, tetapi sebenarnya adalah halaman phishing yang dirancang oleh peretas. Dalam kasus kami, nama domain yang ditautkan sangat mirip dengan situs pihak ketiga yang sah untuk memperdagangkan item game, tetapi hanya dengan dua huruf yang diubah di nama domain.

Pengguna dapat dengan mudah salah mengira itu sebagai situs sah yang terkenal.

Situs Phishing

Setelah tautan dibuka, itu akan menampilkan salinan situs perdagangan yang sah dengan penawaran perdagangan yang sangat menarik dan menguntungkan. Lihat screen print di bawah ini:

Di situs web perdagangan yang sah, tawaran perdagangan dapat ditanggapi dengan masuk menggunakan akun game Anda menggunakan protokol OpenID. Saat pengguna ingin masuk, dia dialihkan ke situs web vendor game, tempat dia masuk dan mengonfirmasi bahwa dia juga ingin masuk di situs web pihak ketiga.

Dia kemudian diarahkan kembali ke situs web perdagangan tempat dia sekarang masuk dan dapat memulai atau menanggapi perdagangan apa pun yang dia inginkan. Namun, di situs web phishing situasinya sedikit berbeda.

Setelah pemain menekan tombol masuk, dia tidak dialihkan ke situs web vendor game, tetapi ke halaman yang sangat mirip dengan yang dimiliki vendor di domain yang sama, di mana pengguna diminta untuk memasukkan kredensial akunnya.

Petunjuk bahwa ini bukan situs yang sah adalah itu SSL tidak memungkinkan. Setiap kali Anda berada di situs web yang meminta Anda memasukkan informasi pribadi, jangan lakukan kecuali Anda telah mengonfirmasi bahwa baris alamat mengatakan "https”Bukan hanya“ http ”dan ikon gembok akan ditampilkan. Setiap bisnis online yang sah memungkinkan SSL karena melindungi penggunanya dengan komunikasi yang aman.

Dalam kasus ini, ketika data pengguna dan kata sandi dikirimkan, tidak ada tindakan login yang dilakukan. Sebaliknya, kredensial yang dikirimkan dikirim ke penjahat yang membuat file situs web phishing.

Fase II Penipuan

Banyak yang serupa phishing penipuans, seperti untuk pengguna bank, akan berhenti di sini dengan pencurian kredensial login pengguna. Sayangnya, penipuan ini bekerja ekstra.

Setelah kredensial dikirim dan dicuri, sebuah pop-up memberi tahu pengguna bahwa "penjaga permainan" perlu diaktifkan di sistem komputer agar dapat masuk. "Steam Guard" yang sebenarnya adalah serangkaian tindakan keamanan (termasuk otentikasi dua faktor) yang diterapkan oleh vendor game untuk mencegah pengambilalihan akun dan pencurian kredensial.

Dalam hal ini para penjahat membujuk pengguna untuk menjalankan aplikasi jahat, bernama “Steam Activation Application.exe”. Situs web phishing akan mendownloadnya segera setelah pop-up ditampilkan.

Seperti yang terlihat di bawah, aplikasi hasad tidak dihosting di domain masing-masing, tetapi di Google Drive.

Saat dijalankan, aplikasi membaca dari kunci registri jalur tempat klien Steam berada.
HKEY_LOCAL_MACHINESoftwareValveSteamInstallPath

Setelah membaca lokasinya, ia mulai mencari semua file yang namanya dimulai dengan string "ssfn".

Ketika file yang dimulai dengan "ssfn" ditemukan, konten dibaca dan data biner diubah menjadi memori dalam representasi heksadesimal teks biasa.

Ini dilakukan untuk mengizinkan aplikasi trojan mencuri file dengan mengirimkannya melalui metode POST ke server web yang terletak di 82.146.53.11.

Jika pengiriman berhasil, aplikasi akan menampilkan pesan yang menyatakan "Anda sekarang memiliki akses ke akun Steam Anda dari komputer ini!", Jika tidak, pesan akan ditampilkan bahwa kesalahan telah terjadi:
Terjadi kesalahan saat mengaktifkan akun (kesalahan pembacaan disk)

Setelah menampilkan pesan sukses atau error, trojan mengeksekusi cmd.exe dengan parameter “del” untuk menghapus dirinya sendiri. Dengan cara ini mencoba untuk menghapus jejaknya dari sistem sehingga pengguna tidak mencurigai adanya aktivitas yang dipertanyakan.

Apa tujuan mencuri file "ssfn *"?
File-file ini berisi data akun Steam dan data otentikasi dua faktor. Ketika file dimasukkan ke folder Steam di sistem lain, token otentikasi dua faktor tidak akan diperlukan lagi, setiap individu yang menggunakan file tersebut akan memiliki akses ke akun dari file dengan akses penuh.

Dengan cara ini, game dapat diakses dan dimainkan, item dalam game (beberapa di antaranya bisa sangat mahal) dicuri atau diperdagangkan untuk casj, riwayat transaksi dilihat atau bahkan detail login akun dan alamat email dapat diubah sehingga pemilik awal tidak akan dapat menggunakan akun tersebut lagi atau bahkan memulihkannya.

Bagaimana mencegah pengambilalihan akun tersebut

Saran berikut berlaku untuk penipuan ini, tetapi juga sebagian besar variasi penipuan phishing:

• Kewaspadaan adalah pertahanan terbaik:
  Jangan mengklik tautan apa pun yang diterima dari orang asing atau bahkan tautan mencurigakan dari teman yang mungkin menjadi korban pembajak. Pastikan semua proses login yang Anda lakukan sudah dilakukan Situs web berkemampuan SSL melalui Protokol https, situs web yang membuktikan identitas mereka dengan cara ini. Periksa ulang nama domain untuk ketidakcocokan yang mencurigakan.
• Menggunakan mengamankan DNS layanan:
  Sistem apa pun harus menggunakan layanan DNS aman seperti Comodo DNS Aman yang akan memperingatkan Anda jika terjadi upaya phishing.
• Gunakan perangkat keamanan yang kuat dengan a firewall dan maju perlindungan malware:
  Pastikan Anda telah menginstal Keamanan Internet Comodo untuk menjadi dilindungi dari malware yang mungkin mencapai sistem Anda.

Biner yang dianalisis

Sha1: 339802931b39b382d5ed86a8507edca1730d03b6
MD5: b205e685886deed9f7e987e1a7af4ab9
Deteksi: TrojWare.Win32.Magania.STM

Sumber Terkait:

MULAI PERCOBAAN GRATIS DAPATKAN SCORECARD KEAMANAN INSTAN ANDA GRATIS