Comodo AV Labs identifiserer spillere som fokuserer på phishing-svindel

Lesetid: 6 minutter

Bidragsytere: Ionel Pomana, Kevin dommer
Videospill har spilt en viktig rolle i datamaskinens historie og er en viktig årsak til deres popularitet som forbrukerprodukt. Familier hadde videospillspillere hjemme lenge før de hadde PC-er. Evnen til å tilby nettsteder som gjengir opplevelsen av frittstående programvare nærmere, har forbedret seg dramatisk de siste årene, så det er ingen overraskelse at nettbaserte spillnettsteder har også boomet.

I følge ebizmba.com er toppspillnettstedet ign.com med forbløffende 20 millioner månedlige besøkende. Faktisk overstiger alle nettstedene på topp 15-listen 1.5 millioner besøkende per måned. Det er heller ingen overraskelse at kriminelle hackere prøver å utnytte sin popularitet for skumle ordninger.

Oversikt

Hovedmål for slike ordninger er spill som leveres via Steam, en populær spillleveringsplattform. Disse spillene kan spilles offline eller online, med eller mot andre menneskelige spillere. Dessverre kan online-spillere også ha selskap av "spillere" som de ikke er klar over: kriminelle phishere og malware-forfattere.

Noen spill har såkalte "in-game items" som spillerne bruker for å forbedre spillopplevelsen. Disse elementene kjøpes under spillet med ekte penger, og prisen kan variere fra noen få cent til flere hundre dollar. Spillere bruker dem i spillet, bytter dem mot andre gjenstander eller selger dem til andre spillere i et “Community Market”.

Dette betyr at en spillerkonto kan være en rik premie hvis den kompromitteres av svindlere.

Skadelig programvare som prøver å kompromittere spillkontoer er ikke noe nytt, men Comodo antivirus Labs har identifisert en ny tilnærming som kriminelle bruker for å kapre kontoene til Steam-leverte spill. Denne artikkelen og følgende informasjon er gitt for å gjøre spillere oppmerksomme på slike trusler og forhåpentligvis unngå dem.

Phishing-meldingen

Det hele starter med en melding mottatt fra en ukjent person via spillets meldingssystem. Brukeren blir av forskjellige grunner bedt om å følge en hyperkobling.

Hackerens primære mål er å skaffe spillerens online spillinformasjon.

Hyperkoblingen tar brukeren til et nettsted som ligner et legitimt nettsted, men er faktisk en phishing-side designet av hackerne. I vårt tilfelle er det koblede domenenavnet veldig likt et legitimt tredjeparts nettsted for handel med spillelementer, men med bare to bokstaver endret i domenenavn.

Brukeren kan lett forveksle det med det velkjente legitime nettstedet.

Nettfiskingstedene

Når lenken er åpnet, viser den en kopi av det legitime handelsstedet med et veldig attraktivt og lønnsomt handelstilbud. Se skjermutskriften nedenfor:

På det legitime handelsnettstedet kan du svare på et handelstilbud ved å logge på med spillkontoen din ved hjelp av OpenID-protokollen. Når en bruker ønsker å logge på, blir han omdirigert til spillets leverandørnettsted, hvor han logger på og bekrefter at han også vil logge på tredjepartsnettstedet.

Han blir deretter omdirigert tilbake til handelsnettstedet hvor han nå er logget inn og kan starte eller svare på enhver handel han ønsker. Imidlertid på nettfiskingsnettsted situasjonen er litt annerledes.

Når spilleren treffer påloggingsknappen, blir han ikke omdirigert til spillleverandørens nettside, men til en side som er veldig lik leverandørens side på samme domene, der brukeren blir bedt om å oppgi kontoopplysningene.

En anelse om at dette ikke er et legitimt nettsted er det SSL er ikke aktivert. Hver gang du er på et nettsted som ber deg om å oppgi personlig informasjon, må du ikke gjøre det med mindre du har bekreftet at adresselinjen sier “https”I stedet for bare“ http ”og at et låsikon vises. Hver legitim online virksomhet muliggjør SSL fordi det beskytter brukerne med sikret kommunikasjon.

I dette tilfellet, når bruker- og passorddataene sendes inn, utføres ingen påloggingshandling. I stedet sendes legitimasjonen til de kriminelle som laget nettfiskingsnettsted.

Fase II av svindelen

Mange lignende phishing-svindels, for eksempel for bankbrukere, vil stoppe her med tyveri av brukerinnloggingsinformasjonen. Dessverre går denne svindelen den ekstra milen.

Etter at legitimasjonen er sendt inn og stjålet, informerer en popup-vindu brukeren om at en "spillvakt" må aktiveres på datasystemet for å kunne logge inn. Den virkelige "Steam Guard" er et sett med sikkerhetstiltak (inkludert tofaktorautentisering) som er på plass av spillleverandøren for å forhindre kontoovertakelser og legitimasjonstyveri.

I dette tilfellet lokker kriminelle brukeren til å kjøre et ondsinnet program, kalt "Steam Activation Application.exe". Nettfiskingsnettstedet laster det ned så snart popup-vinduet vises.

Som vist nedenfor er det ondsinnede programmet ikke vert på det respektive domenet, men på Google Drive.

Når den kjøres, leser applikasjonen banen fra Steam-klienten fra registernøkkelen.
HKEY_LOCAL_MACHINESoftwareValveSteamInstallPath

Etter å ha lest posisjonen, begynner den å søke etter alle filer hvis navn begynner med strengen “ssfn”.

Når en fil som starter med "ssfn" blir funnet, leses innholdet og binære data blir konvertert til minne i en heksadesimal representasjon med ren tekst.

Dette gjøres for å la trojansøknaden stjele filen ved å sende den via en POST-metode til webserveren 82.146.53.11.

Hvis sendingen var vellykket, viser applikasjonen en melding som sier "Du har nå tilgang til Steam-kontoen din fra denne datamaskinen!", Ellers viser den en melding om at det har oppstått en feil:
Det oppstod en feil under aktivering av konto (disklesefeil)

Etter å ha vist en suksess- eller feilmelding, kjører trojanen cmd.exe med "del" -parameteren for å slette seg selv. På denne måten prøver den å fjerne sporene fra systemet, slik at brukeren ikke mistenker noen tvilsom aktivitet.

Hva er hensikten med å stjele “ssfn *” -filer?
Disse filene inneholder Steam-kontodata og tofaktorautentiseringsdata. Når filen blir satt inn i Steam-mappen på et annet system, vil ikke to-faktor autentiseringstoken være nødvendig lenger, enhver person som bruker den respektive filen vil ha tilgang til kontoen fra fil med full tilgang.

På denne måten kan spillene nås og spilles, elementene i spillet (noen som kan være veldig dyre) blir stjålet eller handlet for casj, transaksjonshistorikken sett eller til og med kontoinnloggingsinformasjonen og e-postadressen kan endres slik at den opprinnelige eieren vil ikke kunne bruke kontoen lenger eller til og med gjenopprette den.

Hvordan forhindre slike kontoovertakelser

Følgende råd gjelder for denne svindelen, men også de fleste variasjoner av phishing-svindel:

• Vaktsomhet er det beste forsvaret:
  Ikke klikk på noen lenker mottatt fra fremmede eller til og med mistenkelige lenker fra venner som kan være ofre for kaprere. Forsikre deg om at påloggingsprosessen du utfører er utført på SSL-aktiverte nettsteder av https-protokoll, nettsteder som viser sin identitet på denne måten. Dobbeltsjekk domenenavn for mistenkelig samsvar.
• Bruk sikker DNS service:
  Ethvert system skal bruke en sikker DNS-tjeneste som Comodo Secure DNS som vil advare deg i tilfelle phishing-forsøk.
• Bruk en robust sikkerhetspakke med en brannmur og avansert beskyttelse mot skadelig programvare:
  Forsikre deg om at du har installert Comodo Internet Security For å være beskyttet mot skadelig programvare som kan komme til systemet ditt.

Analysert binær

SHA1: 339802931b39b382d5ed86a8507edca1730d03b6
MD5: b205e685886deed9f7e987e1a7af4ab9
Gjenkjenning: TrojWare.Win32.Magania.STM

Relatert ressurs:

START GRATIS PRØVEPERIODE FÅ DIN KJENTE SIKKERHETSSCORECARD GRATIS