Comodo AV Labs виявляє фішингову шахрайство, націлену на геймерів

Час читання: 6 протокол

Автори: Іонел Помана, Кевін Джадж
Відеоігри відіграли важливу роль в історії комп’ютерів і є важливою причиною їх популярності як споживчого продукту. Сім’ї мали програвачі відеоігор у своїх будинках задовго до того, як у них з’явилися персональні комп’ютери. Можливість надавати веб-сайти, які більш точно повторюють досвід автономного програмного забезпечення, значно покращилася за останні роки, тому не дивно, що веб-сайти з онлайн-іграми також процвітали.

За даними ebizmba.com, найкращим ігровим веб-сайтом є ign.com з приголомшливими 20 мільйонами відвідувачів щомісяця. Фактично, усі сайти в їхньому списку 15 перевищують 1.5 мільйона відвідувачів на місяць. Також не дивно, що злочинні хакери намагаються використати свою популярність для підступних схем.

огляд

Основними цілями таких схем є ігри, які поставляються через Steam, популярну платформу доставки ігор. У ці ігри можна грати офлайн або онлайн, з іншими людьми або проти них. На жаль, онлайн-гравці також можуть мати компанію «гравців», про яких вони не знають: злочинних фішерів та авторів шкідливих програм.

У деяких іграх є так звані «ігрові предмети», які гравці використовують для покращення ігрового досвіду. Ці предмети купуються під час гри за реальні гроші і їх ціна може варіюватися від кількох центів до кількох сотень доларів. Гравці використовують їх у грі, обмінюють на інші предмети або продають іншим гравцям на «Ринку спільноти».

Це означає, що обліковий запис гравця може стати багатим призом, якщо його зламати шахраї.

Шкідливе програмне забезпечення, яке намагається зламати ігрові облікові записи, не є чимось новим, але Comodo антивірус Labs визначила новий підхід, за допомогою якого зловмисники викрадають облікові записи в іграх Steam. Ця стаття та наведена нижче інформація надані для того, щоб геймери дізналися про такі загрози та, сподіваюся, уникнути їх.

Фішингове повідомлення

Все починається з повідомлення, отриманого від невідомої особи через систему обміну повідомленнями гри. Користувача з різних причин просять перейти за гіперпосиланням.

Основна мета хакера - отримати облікові дані гравця для онлайн-ігор.

Гіперпосилання спрямовує користувача на сайт, який нагадує законний веб-сайт, але насправді є фішинговою сторінкою, розробленою хакерами. У нашому випадку пов’язане доменне ім’я дуже схоже на законний сайт третьої сторони для торгівлі ігровими предметами, але в імені домену змінено лише дві літери.

Користувач може легко прийняти його за добре відомий законний сайт.

Фішингові сайти

Після відкриття посилання відображається копія законного торгового сайту з дуже привабливою та вигідною торговою пропозицією. Зверніться до трафаретного друку нижче:

На веб-сайті законної торгівлі можна відповісти на торгову пропозицію, увійшовши у свій ігровий обліковий запис за допомогою протоколу OpenID. Коли користувач хоче увійти, він перенаправляється на веб-сайт постачальника гри, де він входить і підтверджує, що він також хоче увійти на веб-сайті третьої сторони.

Потім його перенаправляють назад на торговий веб-сайт, де він увійшов у систему і може розпочати або відповісти на будь-яку торгівлю, яку забажає. Однак на фішинговий веб -сайт ситуація дещо інша.

Після того, як гравець натисне кнопку входу, його переспрямує не на веб-сайт постачальника гри, а на сторінку, дуже схожу на сторінку постачальника в тому самому домені, де користувача просять ввести облікові дані свого облікового запису.

Підказкою того, що це не законний сайт, є те SSL не ввімкнено. Кожного разу, коли ви перебуваєте на веб-сайті, який просить вас ввести особисту інформацію, не робіть цього, якщо ви не підтвердите, що в адресному рядку написано «протокол HTTPS” замість просто “http” і відображається значок замка. Кожен законний онлайн-бізнес дозволяє SSL оскільки він захищає своїх користувачів за допомогою захищеного зв’язку.

У цьому випадку, коли дані користувача та пароля подані, дія для входу не виконується. Натомість подані облікові дані надсилаються злочинцям, які їх створили фішинговий веб -сайт.

ІІ етап афери

Багато схожих шахрайськимs, наприклад для користувачів банку, зупиниться на цьому з крадіжкою облікових даних користувача. На жаль, це шахрайство йде на зайву милю.

Після того, як облікові дані будуть подані та вкрадені, спливаюче вікно інформує користувача про те, що для входу в систему необхідно ввімкнути «ігровий захист» у комп’ютерній системі. Справжня «Steam Guard» — це набір заходів безпеки (включаючи двофакторну аутентифікацію), введених постачальником гри, щоб запобігти захопленню облікового запису та викраденню облікових даних.

У цьому випадку зловмисники заманюють користувача до запуску шкідливої ​​програми під назвою «Steam Activation Application.exe». Фішинговий веб-сайт завантажить його, як тільки з’явиться спливаюче вікно.

Як показано нижче, шкідлива програма розміщена не у відповідному домені, а на Google Диску.

Під час запуску програма зчитує з розділу реєстру шлях, де знаходиться клієнт Steam.
HKEY_LOCAL_MACHINESoftwareValveSteamInstallPath

Після прочитання розташування він починає шукати всі файли, назва яких починається з рядка «ssfn».

Коли знайдено файл, що починається з «ssfn», вміст зчитується, а двійкові дані перетворюються в пам’ять у шістнадцятковому представленні звичайного тексту.

Це робиться, щоб дозволити троянській програмі вкрасти файл, відправивши його за допомогою методу POST на веб-сервер, розташований за адресою 82.146.53.11.

Якщо відправка була успішною, програма виводить повідомлення «Тепер ви маєте доступ до свого облікового запису Steam з цього комп’ютера!», інакше відображається повідомлення про те, що сталася помилка:
Під час активації облікового запису сталася помилка (помилка читання диска)

Після відображення повідомлення про успіх або помилку троян виконує cmd.exe з параметром «del», щоб видалити себе. Таким чином він намагається видалити його сліди з системи, щоб користувач не підозрював жодної сумнівної діяльності.

Яка мета крадіжки файлів «ssfn*»?
Ці файли містять дані облікового запису Steam і дані двофакторної аутентифікації. Коли файл поміщається в папку Steam в іншій системі, маркер двофакторної автентифікації більше не потрібен, будь-яка особа, яка використовує відповідний файл, матиме доступ до облікового запису з файлу з повним доступом.

Таким чином, можна отримати доступ до ігор і грати в них, вкрасти або обміняти на casj внутрішньоігрові предмети (деякі, які можуть бути дуже дорогими), переглянути історію транзакцій або навіть змінити дані для входу в обліковий запис і адресу електронної пошти, щоб початковий власник не зможе більше використовувати обліковий запис або навіть відновити його.

Як запобігти такому поглинанню облікового запису

Наступна порада стосується цього шахрайства, а також більшості різновидів фішингових шахрайств:

• Пильність - найкращий захист:
  Не натискайте на посилання, отримані від незнайомців, або навіть підозрілі посилання від друзів, які можуть стати жертвами викрадачів. Переконайтеся, що будь-який процес входу, який ви виконуєте, здійснено Веб-сайти з підтримкою SSL через протокол https, веб-сайти, які таким чином підтверджують свою особу. Двічі перевірте доменні імена на наявність підозрілих невідповідностей.
• Використовувати безпечний DNS послуга:
  Будь-яка система повинна використовувати безпечну службу DNS, наприклад Comodo Secure DNS яке попередить вас у разі спроб фішингу.
• Використовуйте надійний пакет безпеки з a брандмауер і просунутий захист від шкідливих програм:
  Переконайтеся, що ви встановили Інтернет-безпека Comodo аби бути захищені від шкідливих програм які можуть досягти вашої системи.

Проаналізований бінарний файл

SHA1: 339802931b39b382d5ed86a8507edca1730d03b6
MD5: b205e685886deed9f7e987e1a7af4ab9
Виявлення: TrojWare.Win32.Magania.STM

Пов'язаний ресурс:

ПОЧНІТЬ БЕЗКОШТОВНУ ПРОБУ БЕЗКОШТОВНО ОТРИМАЙТЕ СВОЙ МОМЕНТАЛЬНИЙ СКОРЕКАРД