Comodo AV Labs identyfikuje oszustwo phishingowe ukierunkowane na graczy PlatoBlockchain Data Intelligence. Wyszukiwanie pionowe. AI.

Comodo AV Labs identyfikuje oszustów phishingowych ukierunkowanych na graczy

Znacznik czasu: 25 czerwca 2014 12:09

Czas czytania: 6 minuty

Oszustwo phishingowe skierowane do graczyWspółautor: Ionel Pomana, Kevin sędzia
 Gry wideo odegrały ważną rolę w historii komputerów i są istotnym powodem ich popularności jako produktu konsumenckiego. Rodziny miały w swoich domach odtwarzacze gier wideo na długo przed tym, jak miały komputery osobiste. W ostatnich latach znacznie poprawiła się możliwość udostępniania witryn internetowych, które lepiej odwzorowują działanie samodzielnego oprogramowania, więc nie jest niespodzianką, że strony internetowe z grami online również rozkwitły.

Według ebizmba.com najpopularniejszą witryną internetową poświęconą grom jest ign.com, z zadziwiającą liczbą 20 milionów odwiedzających miesięcznie. W rzeczywistości wszystkie witryny na ich pierwszej 15 liście przekraczają 1.5 miliona odwiedzających miesięcznie. Nie jest również niespodzianką, że hakerzy kryminalni próbują wykorzystać swoją popularność do nikczemnych schematów.

Przegląd

Głównymi celami takich schematów są gry dostarczane za pośrednictwem popularnej platformy dostarczania gier Steam. W te gry można grać w trybie offline lub online, z innymi graczami lub przeciwko innym graczom. Niestety, gracze online mogą również mieć towarzystwo „graczy”, których nie są świadomi: kryminalni phisherzy i twórcy złośliwego oprogramowania.

Niektóre gry mają tak zwane „przedmioty w grze”, których gracze używają, aby poprawić wrażenia z gry. Przedmioty te kupowane są w trakcie gry za prawdziwe pieniądze, a ich cena może wahać się od kilku centów do kilkuset dolarów. Gracze używają ich w grze, wymieniają na inne przedmioty lub sprzedają innym graczom na „Rynek społeczności”.

Oznacza to, że konto gracza może być bogatą nagrodą, jeśli zostanie naruszone przez oszustów.

Złośliwe oprogramowanie, które próbuje włamać się do kont gier, nie jest czymś nowym, ale Comodo antywirusowe Labs zidentyfikowało nowe podejście, które przestępcy wykorzystują do przejmowania kont gier dostarczanych przez Steam. Ten artykuł i poniższe informacje mają na celu uświadomienie graczom takich zagrożeń i miejmy nadzieję, że ich unikają.

Wiadomość phishingowa

Wiadomość phishingowaWszystko zaczyna się od wiadomości otrzymanej od nieznanej osoby za pośrednictwem systemu przesyłania wiadomości w grze. Użytkownik jest proszony, z różnych powodów, o podążanie za hiperłączem.

Głównym celem hakera jest uzyskanie danych uwierzytelniających gracza do gier online.

Hiperłącze przenosi użytkownika do witryny, która przypomina legalną witrynę, ale w rzeczywistości jest stroną phishingową zaprojektowaną przez hakerów. W naszym przypadku połączona nazwa domeny jest bardzo podobna do legalnej strony trzeciej do handlu przedmiotami z gry, ale w nazwie domeny zmieniono tylko dwie litery.

Użytkownik może łatwo pomylić go z dobrze znaną legalną witryną.

Strony phishingowe

Po otwarciu linku wyświetla kopię legalnej witryny handlowej z bardzo atrakcyjną i dochodową ofertą handlową. Zapoznaj się z poniższym zrzutem ekranu:

Strony phishingowe
Na legalnej witrynie handlowej można odpowiedzieć na ofertę handlową, logując się na swoje konto gry przy użyciu protokołu OpenID. Gdy użytkownik chce się zalogować, zostaje przekierowany na stronę dostawcy gry, gdzie loguje się i potwierdza, że ​​chce zalogować się również na stronie innej firmy.

Następnie zostaje przekierowany z powrotem na stronę handlową, gdzie jest teraz zalogowany i może zainicjować lub odpowiedzieć na dowolną transakcję, którą chce. Jednak na strona phishingowa sytuacja jest nieco inna.

strona phishingowaGdy gracz kliknie przycisk logowania, nie jest przekierowywany na stronę dostawcy gry, ale na stronę bardzo podobną do strony dostawcy w tej samej domenie, gdzie użytkownik jest proszony o podanie danych logowania do swojego konta.

Wskazówką, że to nie jest legalna witryna, jest to, że SSL nie jest włączone. Za każdym razem, gdy jesteś na stronie internetowej, która prosi o podanie danych osobowych, nie rób tego, chyba że potwierdzisz, że wiersz adresu mówi „https” zamiast samego „http” i wyświetlana jest ikona kłódki. Każdy legalny biznes online umożliwia SSL ponieważ chroni swoich użytkowników dzięki bezpiecznej komunikacji.

W takim przypadku po podaniu danych użytkownika i hasła nie jest wykonywana akcja logowania. Zamiast tego przesłane poświadczenia są wysyłane do przestępców, którzy stworzyli strona phishingowa.

Faza II oszustwa

Faza II oszustwaWiele podobnych phishing scams, na przykład dla użytkowników banków, zatrzymałoby się na tym z kradzieżą danych logowania użytkownika. Niestety, to oszustwo idzie o krok dalej.

Po przesłaniu i kradzieży danych uwierzytelniających, wyskakujące okienko informuje użytkownika, że ​​w systemie komputerowym musi być włączona ochrona gry, aby można było się zalogować. Prawdziwy „Steam Guard” to zestaw środków bezpieczeństwa (w tym uwierzytelnianie dwuskładnikowe) wprowadzonych przez dostawcę gry, aby zapobiec przejęciu kont i kradzieży danych uwierzytelniających.

W tym przypadku przestępcy nakłaniają użytkownika do uruchomienia złośliwej aplikacji o nazwie „Steam Activation Application.exe”. Strona phishingowa pobierze ją, gdy tylko wyświetli się wyskakujące okienko.

Jak widać poniżej, złośliwa aplikacja nie jest hostowana w odpowiedniej domenie, ale na Dysku Google.

źródło pobierania
Po uruchomieniu aplikacja odczytuje z klucza rejestru ścieżkę, w której znajduje się klient Steam.
HKEY_LOCAL_MACHINESoftwareValveSteamInstallPath

Po odczytaniu lokalizacji rozpoczyna wyszukiwanie wszystkich plików, których nazwa zaczyna się od ciągu „ssfn”.

dbg odczyt lokalizacji
Gdy zostanie znaleziony plik, który zaczyna się od „ssfn”, zawartość jest odczytywana, a dane binarne są konwertowane na pamięć w postaci szesnastkowej w postaci zwykłego tekstu.

06_dbg_search_ssfn

07_mem_convert

Ma to na celu umożliwienie aplikacji trojańskiej kradzieży pliku poprzez wysłanie go metodą POST do serwera WWW znajdującego się pod adresem 82.146.53.11.

08_dbg_send
Jeśli wysyłanie się powiodło, aplikacja wyświetli komunikat „Masz teraz dostęp do swojego konta Steam z tego komputera!”, w przeciwnym razie wyświetli komunikat, że wystąpił błąd:
Wystąpił błąd podczas aktywacji konta (błąd odczytu dysku)

09_msg_fail_sukces
Po wyświetleniu komunikatu o powodzeniu lub błędzie trojan wykonuje polecenie cmd.exe z parametrem „del”, aby się usunąć. W ten sposób próbuje usunąć swoje ślady z systemu, aby użytkownik nie podejrzewał żadnej podejrzanej aktywności.

10_dbg_shellexecute
Jaki jest cel kradzieży plików „ssfn*”?
Pliki te zawierają dane konta Steam i dane uwierzytelniania dwuskładnikowego. Gdy plik zostanie umieszczony w folderze Steam w innym systemie, token uwierzytelniania dwuskładnikowego nie będzie już wymagany, każda osoba korzystająca z odpowiedniego pliku będzie miała dostęp do konta z pliku z pełnym dostępem.

W ten sposób można uzyskać dostęp do gier i grać, przedmioty w grze (niektóre mogą być bardzo drogie) skradzione lub wymienione na casj, przeglądana historia transakcji, a nawet dane logowania do konta i adres e-mail mogą zostać zmienione, aby początkowy właściciel nie będzie mógł już korzystać z konta, a nawet go odzyskać.

Jak zapobiegać takim przejęciom?

Poniższe porady dotyczą tego oszustwa, ale także większości odmian oszustw związanych z wyłudzaniem informacji:

  • Czujność to najlepsza obrona:
    Nie klikaj żadnych linków otrzymanych od nieznajomych ani nawet podejrzanych linków od znajomych, którzy mogą być ofiarami porywaczy. Upewnij się, że każdy proces logowania, który wykonujesz, odbywa się w Strony internetowe obsługujące SSL przez Protokół https, strony internetowe, które w ten sposób udowadniają swoją tożsamość. Dokładnie sprawdź nazwy domen pod kątem podejrzanych niezgodności.
  • Użyj bezpieczny DNS usługa:
    Każdy system powinien korzystać z bezpiecznej usługi DNS, takiej jak Comodo Secure DNS który ostrzeże Cię w przypadku prób phishingu.
  • Użyj solidnego pakietu bezpieczeństwa z zapora i zaawansowanych zabezpieczenie przed złośliwym oprogramowaniem:
    Upewnij się, że zainstalowałeś Comodo Internet Security żeby być chroniony przed złośliwym oprogramowaniem które mogą dotrzeć do twojego systemu.

Analizowany binarny

SHA1: 339802931b39b382d5ed86a8507edca1730d03b6
MD5: b205e685886deed9f7e987e1a7af4ab9
Wykrycie: TrojWare.Win32.Magania.STM

Powiązane zasoby:

ROZPOCZNIJ DARMOWY OKRES PRÓBNY ODBIERZ SWOJĄ NATYCHMIASTOWĄ KARTĘ BEZPIECZEŃSTWA ZA DARMO

Znak czasu:

Więcej z Cyberbezpieczeństwo Comodo