Comodo AV Labs prepozna uporabnike, ki ciljajo na phishing prevare

Čas branja: 6 min

Avtorji: Ionel Pomana, Kevin Judge
Video igre so igrale pomembno vlogo v zgodovini računalnikov in so pomemben razlog za njihovo priljubljenost kot potrošniškega izdelka. Družine so imele v svojih domovih predvajalnike video iger veliko prej, preden so imele osebne računalnike. Zmožnost zagotavljanja spletnih mest, ki bolj natančno posnemajo izkušnjo samostojne programske opreme, se je v zadnjih letih močno izboljšala, zato ni presenetljivo, spletna mesta za spletne igre na srečo so tudi razmahnile.

Glede na ebizmba.com je najboljša igralna spletna stran ign.com z osupljivimi 20 milijoni obiskovalcev mesečno. Pravzaprav vsa spletna mesta na seznamu 15 najboljših presegajo 1.5 milijona obiskovalcev na mesec. Prav tako ni presenetljivo, da kriminalni hekerji poskušajo izkoristiti svojo priljubljenost za nečedne sheme.

Pregled

Glavne tarče takih shem so igre, ki se dostavljajo prek priljubljene platforme za dostavo iger Steam. Te igre je mogoče igrati brez povezave ali na spletu, z ali proti drugim človeškim igralcem. Na žalost imajo lahko spletni igralci tudi družbo »igralcev«, ki se jih ne zavedajo: kriminalci lažnega predstavljanja in pisci zlonamerne programske opreme.

Nekatere igre imajo tako imenovane "predmete v igri", ki jih igralci uporabljajo za izboljšanje igralne izkušnje. Ti predmeti se med igro kupijo s pravim denarjem, njihova cena pa se lahko razlikuje od nekaj centov do nekaj sto dolarjev. Igralci jih uporabljajo v igri, jih zamenjajo za druge predmete ali jih prodajo drugim igralcem na »trgu skupnosti«.

To pomeni, da je račun igralca lahko bogata nagrada, če ga ogrozijo goljufi.

Zlonamerna programska oprema, ki poskuša ogroziti igralne račune, ni nekaj novega, ampak Comodo antivirus Laboratoriji so odkrili nov pristop, ki ga kriminalci uporabljajo za ugrabitev računov iger, ki jih ponuja Steam. Ta članek in naslednje informacije so na voljo, da se igralci iger seznanijo s takšnimi grožnjami in se jim upajmo izognejo.

Sporočilo lažnega predstavljanja

Vse se začne s sporočilom, prejetim od neznane osebe prek sistema sporočanja v igri. Uporabnik mora iz različnih razlogov slediti hiperpovezavi.

Primarni cilj hekerja je pridobiti igralčeve poverilnice za spletno igranje.

Hiperpovezava vodi uporabnika na spletno mesto, ki je podobno zakonitemu spletnemu mestu, v resnici pa je stran z lažnim predstavljanjem, ki so jo oblikovali hekerji. V našem primeru je povezano ime domene zelo podobno zakonitemu spletnemu mestu tretje osebe za trgovanje z elementi iger, vendar sta v imenu domene spremenjeni samo dve črki.

Uporabnik ga zlahka zamenja za dobro znano zakonito spletno mesto.

Spletna mesta z lažnim predstavljanjem

Ko je povezava odprta, prikaže kopijo zakonitega trgovalnega mesta z zelo privlačno in donosno trgovalno ponudbo. Glejte spodnji sitotisk:

Na zakonitem trgovskem spletnem mestu se lahko na trgovinsko ponudbo odzovete tako, da se prijavite s svojim računom za igro s protokolom OpenID. Ko se uporabnik želi prijaviti, je preusmerjen na spletno mesto prodajalca igre, kjer se prijavi in ​​potrdi, da se želi prijaviti tudi na spletnem mestu tretje osebe.

Nato je preusmerjen nazaj na spletno mesto za trgovanje, kjer je zdaj prijavljen in lahko sproži ali odgovori na katero koli trgovanje, ki ga želi. Vendar pa na spletna stran z lažnim predstavljanjem situacija je malo drugačna.

Ko igralec pritisne gumb za prijavo, ni preusmerjen na spletno mesto prodajalca iger, ampak na stran, ki je zelo podobna strani prodajalca na isti domeni, kjer mora uporabnik vnesti poverilnice svojega računa.

Namig, da to ni legitimno spletno mesto, je to SSL ni omogočeno. Kadarkoli ste na spletnem mestu, ki od vas zahteva vnos osebnih podatkov, tega ne storite, razen če ste potrdili, da v naslovni vrstici piše »https« namesto samo »http« in da se prikaže ikona ključavnice. Vsako zakonito spletno poslovanje omogoča SSL ker ščiti svoje uporabnike z varno komunikacijo.

V tem primeru se ob predložitvi podatkov o uporabniku in geslu ne izvede nobeno prijavno dejanje. Namesto tega se predložene poverilnice pošljejo kriminalcem, ki so izdelali spletna stran z lažnim predstavljanjem.

Faza II prevare

Veliko podobnih phishing prevaras, na primer za bančne uporabnike, bi se tukaj ustavili s krajo poverilnic za prijavo uporabnika. Na žalost gre ta prevara še dlje.

Ko so poverilnice poslane in ukradene, pojavno okno obvesti uporabnika, da mora biti v računalniškem sistemu omogočen »varovalnik igre«, da se lahko prijavi. Pravi »Steam Guard« je nabor varnostnih ukrepov (vključno z dvofaktorsko avtentikacijo), ki jih je uvedel prodajalec igre, da bi preprečil prevzem računa in krajo poverilnic.

V tem primeru kriminalci zvabijo uporabnika v zagon zlonamerne aplikacije, imenovane »Steam Activation Application.exe«. Lažno spletno mesto ga bo preneslo takoj, ko se prikaže pojavno okno.

Kot je prikazano spodaj, zlonamerna aplikacija ne gostuje v zadevni domeni, temveč v storitvi Google Drive.

Ko se zažene, aplikacija iz registrskega ključa prebere pot, kjer se nahaja odjemalec Steam.
HKEY_LOCAL_MACHINESoftwareValveSteamInstallPath

Ko prebere lokacijo, začne iskati vse datoteke, katerih ime se začne z nizom “ssfn”.

Ko je najdena datoteka, ki se začne z »ssfn«, se vsebina prebere in binarni podatki se pretvorijo v pomnilnik v šestnajstiški predstavitvi navadnega besedila.

To se naredi, da se trojanski aplikaciji omogoči kraja datoteke tako, da jo prek metode POST pošlje spletnemu strežniku na naslovu 82.146.53.11.

Če je bilo pošiljanje uspešno, aplikacija prikaže sporočilo »Zdaj imate dostop do vašega računa Steam iz tega računalnika!«, v nasprotnem primeru prikaže sporočilo, da je prišlo do napake:
Pri aktivaciji računa je prišlo do napake (napaka pri branju diska)

Po prikazu sporočila o uspehu ali napaki trojanec izvede cmd.exe s parametrom »del«, da se izbriše. Na ta način poskuša odstraniti svoje sledi iz sistema, tako da uporabnik ne posumi na vprašljivo dejavnost.

Kakšen je namen kraje datotek »ssfn*«?
Te datoteke vsebujejo podatke o računu Steam in podatke dvostopenjske avtentikacije. Ko je datoteka postavljena v Steamovo mapo v drugem sistemu, žeton dvofaktorske avtentikacije ne bo več potreben, vsak posameznik, ki uporablja ustrezno datoteko, bo imel dostop do računa iz datoteke s polnim dostopom.

Na ta način lahko dostopate do iger in jih igrate, predmete v igri (nekateri so lahko zelo dragi) ukradete ali zamenjate za casj, si ogledate zgodovino transakcij ali celo spremenite podatke za prijavo v račun in e-poštni naslov, tako da začetni lastnik ne bo mogel več uporabljati računa ali ga celo obnoviti.

Kako preprečiti takšne prevzeme računov

Naslednji nasvet velja za to prevaro, a tudi za večino različic lažnega predstavljanja:

• Čuječnost je najboljša obramba:
  Ne klikajte povezav, ki ste jih prejeli od neznancev, ali celo sumljivih povezav prijateljev, ki bi lahko bili žrtve ugrabiteljev. Prepričajte se, da je vsak postopek prijave, ki ga izvajate, narejen na Spletna mesta, ki podpirajo SSL preko protokol https, spletnih mest, ki na ta način dokazuje svojo identiteto. Še enkrat preverite imena domen za morebitna sumljiva neujemanja.
• Uporaba varen DNS storitev:
  Vsak sistem bi moral uporabljati varno storitev DNS, kot je npr Comodo Secure DNS ki vas bo opozoril v primeru poskusov lažnega predstavljanja.
• Uporabite robusten varnostni paket z a požarni zid in napredni zaščita pred malware-om:
  Preverite, ali ste namestili Internetna varnost Comodo da bi bil zaščiten pred zlonamerno programsko opremo ki bi lahko dosegli vaš sistem.

Analizirani binarni

SHA1: 339802931b39b382d5ed86a8507edca1730d03b6
MD5: b205e685886deed9f7e987e1a7af4ab9
Zaznavanje: TrojWare.Win32.Magania.STM

Sorodni viri:

ZAČNITE BREZPLAČEN PREIZKUS BREZPLAČNO SVOJO MESTO ZAGOTAVLJAJO