Comodo AV Laboratuvarları Kimlik Avı Dolandırıcılığı Hedefleme Oyunlarını Belirliyor

Okuma zamanı: 6 dakika

Katkıda bulunanlar: Ionel Pomana, Kevin Yargıç
Video oyunları bilgisayarların tarihinde önemli bir rol oynamıştır ve bir tüketici ürünü olarak popülerliğinin önemli bir nedenidir. Ailelerin kişisel bilgisayarları olmadan çok önce evlerinde video oyunu oynatıcıları vardı. Bağımsız yazılım deneyimini daha yakından taklit eden web siteleri sağlama yeteneği son yıllarda önemli ölçüde gelişti; çevrimiçi oyun siteleri da patlama yaşadı.

Ebizmba.com'a göre en iyi oyun sitesi aylık 20 milyon ziyaretçisiyle ign.com'dur. Aslında ilk 15 listesinde yer alan tüm sitelerin aylık ziyaretçi sayısı 1.5 milyonu aşıyor. Suçlu bilgisayar korsanlarının popülerliklerini hain planlar için istismar etmeye çalışmaları da şaşırtıcı değil.

Genel Bakış

Bu tür planların ana hedefleri, popüler bir oyun dağıtım platformu olan Steam aracılığıyla sunulan oyunlardır. Bu oyunlar çevrimdışı veya çevrimiçi olarak, diğer insan oyuncularla veya onlara karşı oynanabilir. Ne yazık ki, çevrimiçi oyuncuların farkında olmadıkları "oyuncular" da olabilir: suçlu kimlik avı yapanlar ve kötü amaçlı yazılım yazanlar.

Bazı oyunlarda oyuncuların oyun deneyimini geliştirmek için kullandıkları "oyun içi öğeler" bulunur. Bu öğeler oyun sırasında gerçek parayla satın alınır ve fiyatları birkaç sentten birkaç yüz dolara kadar değişebilir. Oyuncular bunları oyunda kullanır, başka öğelerle takas eder veya "Topluluk Pazarı"nda diğer oyunculara satarlar.

Bu, bir oyuncunun hesabının dolandırıcılar tarafından ele geçirilmesi durumunda zengin bir ödül olabileceği anlamına gelir.

Oyun hesaplarının güvenliğini ihlal etmeye çalışan kötü amaçlı yazılımlar yeni bir şey değil, ancak Comodo antivirüs Laboratuvarlar, suçluların Steam'de teslim edilen oyunların hesaplarını ele geçirmek için kullandıkları yeni bir yaklaşımı belirledi. Bu makale ve aşağıdaki bilgiler, oyuncuların bu tür tehditlerden haberdar olmasını ve bunlardan kaçınmasını ummak amacıyla sağlanmıştır.

Kimlik Avı Mesajı

Her şey bilinmeyen bir kişiden oyunun mesajlaşma sistemi aracılığıyla alınan bir mesajla başlar. Kullanıcıdan çeşitli nedenlerle bir köprüyü takip etmesi istenir.

Bilgisayar korsanının birincil hedefi, oyuncunun çevrimiçi oyun kimlik bilgilerini elde etmektir.

Köprü, kullanıcıyı meşru bir web sitesine benzeyen ancak aslında bilgisayar korsanları tarafından tasarlanmış bir kimlik avı sayfası olan bir siteye yönlendirir. Bizim durumumuzda, bağlantılı alan adı, oyun öğeleri ticareti için meşru bir üçüncü taraf sitesine çok benzer, ancak alan adında yalnızca iki harf değişmiştir.

Kullanıcı bunu kolayca iyi bilinen meşru bir siteyle karıştırabilir.

Kimlik Avı Siteleri

Bağlantı açıldığında, çok çekici ve karlı bir ticaret teklifi sunan meşru ticaret sitesinin bir kopyası görüntülenir. Aşağıdaki ekran çıktısına bakın:

Meşru takas web sitesinde, OpenID protokolünü kullanarak oyun hesabınızla oturum açarak bir takas teklifine yanıt verebilirsiniz. Bir kullanıcı oturum açmak istediğinde oyunun satıcı web sitesine yönlendirilir, burada oturum açar ve üçüncü taraf web sitesinde de oturum açmak istediğini onaylar.

Daha sonra oturum açmış olduğu ve istediği herhangi bir işlemi başlatabileceği veya yanıt verebileceği işlem web sitesine geri yönlendirilir. Ancak, üzerinde kimlik avı web sitesi durum biraz farklı.

Oyuncu, oturum açma düğmesine bastığında, oyun satıcısının web sitesine değil, satıcının aynı etki alanındaki sayfasına çok benzer bir sayfaya yönlendirilir; burada kullanıcıdan hesap bilgilerini girmesi istenir.

Bunun meşru bir site olmadığına dair bir ipucu şudur: SSL etkinleştirilmiyor. Kişisel bilgilerinizi girmenizi isteyen bir web sitesine her girdiğinizde, adres satırında "" yazdığını doğrulamadığınız sürece bunu yapmayın.httpsYalnızca “http” yerine ” ve bir kilit simgesi görüntülenir. Her meşru çevrimiçi işletme şunları sağlar: SSL çünkü güvenli iletişim ile kullanıcılarını korur.

Bu durumda kullanıcı ve şifre verileri girildiğinde herhangi bir giriş işlemi yapılmaz. Bunun yerine gönderilen kimlik bilgileri, bu belgeyi hazırlayan suçlulara gönderilir. kimlik avı web sitesi.

Dolandırıcılığın II. Aşaması

Pek çok benzer kimlik avı dolandırıcılığıBanka kullanıcıları için olduğu gibi, kullanıcının oturum açma bilgilerinin çalınması burada sona erecektir. Ne yazık ki, bu dolandırıcılık daha da ileriye gidiyor.

Kimlik bilgileri gönderilip çalındıktan sonra, bir açılır pencere kullanıcıya, oturum açabilmek için bilgisayar sisteminde bir "oyun korumasının" etkinleştirilmesi gerektiğini bildirir. Gerçek "Steam Guard", hesap ele geçirmelerini ve kimlik bilgilerinin çalınmasını önlemek için oyun satıcısı tarafından uygulanan bir dizi güvenlik önlemidir (iki faktörlü kimlik doğrulama dahil).

Bu durumda suçlular, kullanıcıyı "Steam Aktivasyon Uygulaması.exe" adlı kötü amaçlı bir uygulamayı çalıştırmaya teşvik ediyor. Kimlik avı web sitesi, açılır pencere görüntülendiğinde onu indirecektir.

Aşağıda görüldüğü gibi kötü amaçlı uygulama ilgili alan adında değil, Google Drive'da barındırılıyor.

Çalıştırıldığında, uygulama kayıt defteri anahtarından Steam istemcisinin bulunduğu yolu okur.
HKEY_LOCAL_MACHINESoftwareValveSteamInstallPath

Konumu okuduktan sonra adı “ssfn” dizisiyle başlayan tüm dosyaları aramaya başlar.

“ssfn” ile başlayan bir dosya bulunduğunda içerik okunur ve ikili veriler düz metin onaltılı gösterimle belleğe dönüştürülür.

Bu, truva atı uygulamasının dosyayı POST yöntemi aracılığıyla 82.146.53.11 adresinde bulunan web sunucusuna göndererek çalmasına izin vermek için yapılır.

Gönderim başarılıysa uygulama "Artık bu bilgisayardan Steam hesabınıza erişiminiz var!" şeklinde bir mesaj görüntüler, aksi takdirde bir hata oluştuğunu belirten bir mesaj görüntüler:
Hesap etkinleştirilirken bir hata oluştu (disk okuma hatası)

Truva atı, bir başarı veya hata mesajı görüntüledikten sonra kendisini silmek için cmd.exe'yi "del" parametresiyle çalıştırır. Bu şekilde, kullanıcının herhangi bir şüpheli etkinlikten şüphelenmemesi için izlerini sistemden kaldırmaya çalışıyor.

“ssfn*” dosyalarını çalmanın amacı nedir?
Bu dosyalar Steam hesap verilerini ve iki faktörlü kimlik doğrulama verilerini içerir. Dosya başka bir sistemdeki Steam klasörüne yerleştirildiğinde, artık iki faktörlü kimlik doğrulama belirtecine gerek kalmayacak, ilgili dosyayı kullanan herhangi bir kişi, dosyadan hesaba tam erişimle erişebilecek.

Bu şekilde oyunlara erişilebilir ve oynanabilir, oyun içi öğeler (bazıları çok pahalı olabilir) çalınabilir veya casj karşılığında takas edilebilir, işlem geçmişi görüntülenebilir ve hatta hesap giriş ayrıntıları ve e-posta adresi değiştirilebilir, böylece ilk sahibi yapılabilir. hesabı artık kullanamayacak, hatta kurtaramayacak.

Bu tür hesap ele geçirmeleri nasıl önlenir?

Aşağıdaki tavsiyeler bu dolandırıcılığın yanı sıra kimlik avı dolandırıcılığının çoğu çeşidi için de geçerlidir.:

• Dikkat en iyi savunmadır:
  Yabancılardan gelen bağlantılara ve hatta korsanların kurbanı olabilecek arkadaşlarınızdan gelen şüpheli bağlantılara tıklamayın. Gerçekleştireceğiniz herhangi bir giriş işleminin şu adreste yapıldığından emin olun: SSL özellikli web siteleri üzerinden https protokolü, kimliğini bu şekilde kanıtlayan web siteleri. Şüpheli bir uyumsuzluk olup olmadığını görmek için alan adlarını bir kez daha kontrol edin.
• Kullanmak güvenli DNS hizmet:
  Herhangi bir sistem aşağıdaki gibi güvenli bir DNS hizmeti kullanıyor olmalıdır: Comodo Güvenli DNS Bu, kimlik avı girişimleri durumunda sizi uyaracaktır.
• Güçlü bir güvenlik paketi kullanın güvenlik duvarı ve gelişmiş malware koruması:
  Yüklediğinizden emin olun Comodo Internet Security Sipariş olmak kötü amaçlı yazılımlardan korunuyor Bu, sisteminize ulaşabilir.

Analiz edilen ikili

SHA1: 339802931b39b382d5ed86a8507edca1730d03b6
MD5: b205e685886deed9f7e987e1a7af4ab9
Algılama: TrojWare.Win32.Magania.STM

İlgili Kaynak:

DENEME SÜRÜMÜNE BAŞLA ANINDA GÜVENLİK PUANINI ÜCRETSİZ ALIN