Czas czytania: 6 minuty
Współautor: Ionel Pomana, Kevin sędzia
Gry wideo odegrały ważną rolę w historii komputerów i są istotnym powodem ich popularności jako produktu konsumenckiego. Rodziny miały w swoich domach odtwarzacze gier wideo na długo przed tym, jak miały komputery osobiste. W ostatnich latach znacznie poprawiła się możliwość udostępniania witryn internetowych, które lepiej odwzorowują działanie samodzielnego oprogramowania, więc nie jest niespodzianką, że strony internetowe z grami online również rozkwitły.
Według ebizmba.com najpopularniejszą witryną internetową poświęconą grom jest ign.com, z zadziwiającą liczbą 20 milionów odwiedzających miesięcznie. W rzeczywistości wszystkie witryny na ich pierwszej 15 liście przekraczają 1.5 miliona odwiedzających miesięcznie. Nie jest również niespodzianką, że hakerzy kryminalni próbują wykorzystać swoją popularność do nikczemnych schematów.
Przegląd
Głównymi celami takich schematów są gry dostarczane za pośrednictwem popularnej platformy dostarczania gier Steam. W te gry można grać w trybie offline lub online, z innymi graczami lub przeciwko innym graczom. Niestety, gracze online mogą również mieć towarzystwo „graczy”, których nie są świadomi: kryminalni phisherzy i twórcy złośliwego oprogramowania.
Niektóre gry mają tak zwane „przedmioty w grze”, których gracze używają, aby poprawić wrażenia z gry. Przedmioty te kupowane są w trakcie gry za prawdziwe pieniądze, a ich cena może wahać się od kilku centów do kilkuset dolarów. Gracze używają ich w grze, wymieniają na inne przedmioty lub sprzedają innym graczom na „Rynek społeczności”.
Oznacza to, że konto gracza może być bogatą nagrodą, jeśli zostanie naruszone przez oszustów.
Złośliwe oprogramowanie, które próbuje włamać się do kont gier, nie jest czymś nowym, ale Comodo antywirusowe Labs zidentyfikowało nowe podejście, które przestępcy wykorzystują do przejmowania kont gier dostarczanych przez Steam. Ten artykuł i poniższe informacje mają na celu uświadomienie graczom takich zagrożeń i miejmy nadzieję, że ich unikają.
Wiadomość phishingowa
Wszystko zaczyna się od wiadomości otrzymanej od nieznanej osoby za pośrednictwem systemu przesyłania wiadomości w grze. Użytkownik jest proszony, z różnych powodów, o podążanie za hiperłączem.
Głównym celem hakera jest uzyskanie danych uwierzytelniających gracza do gier online.
Hiperłącze przenosi użytkownika do witryny, która przypomina legalną witrynę, ale w rzeczywistości jest stroną phishingową zaprojektowaną przez hakerów. W naszym przypadku połączona nazwa domeny jest bardzo podobna do legalnej strony trzeciej do handlu przedmiotami z gry, ale w nazwie domeny zmieniono tylko dwie litery.
Użytkownik może łatwo pomylić go z dobrze znaną legalną witryną.
Strony phishingowe
Po otwarciu linku wyświetla kopię legalnej witryny handlowej z bardzo atrakcyjną i dochodową ofertą handlową. Zapoznaj się z poniższym zrzutem ekranu:
Na legalnej witrynie handlowej można odpowiedzieć na ofertę handlową, logując się na swoje konto gry przy użyciu protokołu OpenID. Gdy użytkownik chce się zalogować, zostaje przekierowany na stronę dostawcy gry, gdzie loguje się i potwierdza, że chce zalogować się również na stronie innej firmy.
Następnie zostaje przekierowany z powrotem na stronę handlową, gdzie jest teraz zalogowany i może zainicjować lub odpowiedzieć na dowolną transakcję, którą chce. Jednak na strona phishingowa sytuacja jest nieco inna.
Gdy gracz kliknie przycisk logowania, nie jest przekierowywany na stronę dostawcy gry, ale na stronę bardzo podobną do strony dostawcy w tej samej domenie, gdzie użytkownik jest proszony o podanie danych logowania do swojego konta.
Wskazówką, że to nie jest legalna witryna, jest to, że SSL nie jest włączone. Za każdym razem, gdy jesteś na stronie internetowej, która prosi o podanie danych osobowych, nie rób tego, chyba że potwierdzisz, że wiersz adresu mówi „https” zamiast samego „http” i wyświetlana jest ikona kłódki. Każdy legalny biznes online umożliwia SSL ponieważ chroni swoich użytkowników dzięki bezpiecznej komunikacji.
W takim przypadku po podaniu danych użytkownika i hasła nie jest wykonywana akcja logowania. Zamiast tego przesłane poświadczenia są wysyłane do przestępców, którzy stworzyli strona phishingowa.
Faza II oszustwa
Wiele podobnych phishing scams, na przykład dla użytkowników banków, zatrzymałoby się na tym z kradzieżą danych logowania użytkownika. Niestety, to oszustwo idzie o krok dalej.
Po przesłaniu i kradzieży danych uwierzytelniających, wyskakujące okienko informuje użytkownika, że w systemie komputerowym musi być włączona ochrona gry, aby można było się zalogować. Prawdziwy „Steam Guard” to zestaw środków bezpieczeństwa (w tym uwierzytelnianie dwuskładnikowe) wprowadzonych przez dostawcę gry, aby zapobiec przejęciu kont i kradzieży danych uwierzytelniających.
W tym przypadku przestępcy nakłaniają użytkownika do uruchomienia złośliwej aplikacji o nazwie „Steam Activation Application.exe”. Strona phishingowa pobierze ją, gdy tylko wyświetli się wyskakujące okienko.
Jak widać poniżej, złośliwa aplikacja nie jest hostowana w odpowiedniej domenie, ale na Dysku Google.
Po uruchomieniu aplikacja odczytuje z klucza rejestru ścieżkę, w której znajduje się klient Steam.
HKEY_LOCAL_MACHINESoftwareValveSteamInstallPath
Po odczytaniu lokalizacji rozpoczyna wyszukiwanie wszystkich plików, których nazwa zaczyna się od ciągu „ssfn”.
Gdy zostanie znaleziony plik, który zaczyna się od „ssfn”, zawartość jest odczytywana, a dane binarne są konwertowane na pamięć w postaci szesnastkowej w postaci zwykłego tekstu.
Ma to na celu umożliwienie aplikacji trojańskiej kradzieży pliku poprzez wysłanie go metodą POST do serwera WWW znajdującego się pod adresem 82.146.53.11.
Jeśli wysyłanie się powiodło, aplikacja wyświetli komunikat „Masz teraz dostęp do swojego konta Steam z tego komputera!”, w przeciwnym razie wyświetli komunikat, że wystąpił błąd:
Wystąpił błąd podczas aktywacji konta (błąd odczytu dysku)
Po wyświetleniu komunikatu o powodzeniu lub błędzie trojan wykonuje polecenie cmd.exe z parametrem „del”, aby się usunąć. W ten sposób próbuje usunąć swoje ślady z systemu, aby użytkownik nie podejrzewał żadnej podejrzanej aktywności.
Jaki jest cel kradzieży plików „ssfn*”?
Pliki te zawierają dane konta Steam i dane uwierzytelniania dwuskładnikowego. Gdy plik zostanie umieszczony w folderze Steam w innym systemie, token uwierzytelniania dwuskładnikowego nie będzie już wymagany, każda osoba korzystająca z odpowiedniego pliku będzie miała dostęp do konta z pliku z pełnym dostępem.
W ten sposób można uzyskać dostęp do gier i grać, przedmioty w grze (niektóre mogą być bardzo drogie) skradzione lub wymienione na casj, przeglądana historia transakcji, a nawet dane logowania do konta i adres e-mail mogą zostać zmienione, aby początkowy właściciel nie będzie mógł już korzystać z konta, a nawet go odzyskać.
Jak zapobiegać takim przejęciom?
Poniższe porady dotyczą tego oszustwa, ale także większości odmian oszustw związanych z wyłudzaniem informacji:
- Czujność to najlepsza obrona:
Nie klikaj żadnych linków otrzymanych od nieznajomych ani nawet podejrzanych linków od znajomych, którzy mogą być ofiarami porywaczy. Upewnij się, że każdy proces logowania, który wykonujesz, odbywa się w Strony internetowe obsługujące SSL przez Protokół https, strony internetowe, które w ten sposób udowadniają swoją tożsamość. Dokładnie sprawdź nazwy domen pod kątem podejrzanych niezgodności. - Użyj bezpieczny DNS usługa:
Każdy system powinien korzystać z bezpiecznej usługi DNS, takiej jak Comodo Secure DNS który ostrzeże Cię w przypadku prób phishingu. - Użyj solidnego pakietu bezpieczeństwa z zapora i zaawansowanych zabezpieczenie przed złośliwym oprogramowaniem:
Upewnij się, że zainstalowałeś Comodo Internet Security żeby być chroniony przed złośliwym oprogramowaniem które mogą dotrzeć do twojego systemu.
Analizowany binarny
SHA1: 339802931b39b382d5ed86a8507edca1730d03b6
MD5: b205e685886deed9f7e987e1a7af4ab9
Wykrycie: TrojWare.Win32.Magania.STM
Powiązane zasoby:
ROZPOCZNIJ DARMOWY OKRES PRÓBNY ODBIERZ SWOJĄ NATYCHMIASTOWĄ KARTĘ BEZPIECZEŃSTWA ZA DARMO
- blockchain
- pomysłowość
- Wiadomości Comodo
- portfele kryptowalutowe
- krypto-wymiana
- bezpieczeństwo cybernetyczne
- cyberprzestępcy
- Bezpieczeństwo cybernetyczne
- Cyberbezpieczeństwo Comodo
- Departament Bezpieczeństwa Wewnętrznego
- cyfrowe portfele
- zapora
- Kaspersky
- malware
- Mcafee
- NexBLOC
- Wiadomość phishingowa
- Witryny wyłudzające informacje
- strona phishingowa
- plato
- Platon Ai
- Analiza danych Platona
- Gra Platona
- PlatoDane
- platogaming
- bezpieczny DNS
- VPN
- zabezpieczenia stron internetowych
- zefirnet