Хакер заробив мільйони, атакуючи користувачів Steam
Аналітики «Доктор Веб» розповіли про вирусописатели, що ховається під псевдонімом Faker. Він поширює «за передплатою» (MaaS, Malware As a Service) різну малваре для атак на користувачів платформи Steam.
Від клієнтів вирусописатели, бажаючих заробляти на поширенні малварі, не потрібно нічого, крім грошей і, в деяких випадках, домену: Faker надає їм саму малваре, доступ до адміністративної панелі і технічну підтримку.
За підрахунками аналітиків «Доктор Веб», цей «бізнес» вже приніс своєму творцеві мільйони, а скільки на цьому заробили його клієнти, залишається тільки здогадуватися - з урахуванням того, що витрачені гроші на оплату місяця використання цієї кримінальної послуги можуть окупитися за добу.
рулетки
Один із способів заробітку зловмисника - це так звані «рулетки». Так мережеві гравці називають своєрідні аукціони, на які відразу кілька учасників виставляють різні ігрові предмети. Імовірність виграшу залежить від розміру зробленої учасником ставки, а переможець забирає все що у розіграші лоти. Шахрайство полягає в тому, що проти реального гравця виступають спеціальні програми-боти, які гарантовано виграють ставку. Іноді потенційній жертві пропонують стати адміністратором такої гри і навіть дозволяють кілька разів виграти, перш ніж вона виставить на черговий кін будь-якої дорогою ігровий предмет, який тут же буде програний і перейде у власність злочинців.
Адміністративна панель рулеток дозволяє гнучко налаштовувати зовнішній вигляд сайту, на якому виробляються розіграші, його вміст, змінювати імена та текст в організованому на сайті чаті, керувати ставками, переглядати список прийнятих у інших гравців предметів.
Trojan.PWS.Steam.13604
Однак Faker займається не тільки рулетками. Крім цього він надає в оренду іншим злочинцям створені ним шкідливі програми. Одна з них отримала індентіфікатор Trojan.PWS.Steam.13604 і призначена для розкрадання облікових даних користувачів Steam. На умовах щомісячної абонентської плати Faker надає своїм клієнтам зібраний спеціально для них шкідливий файл, а також доступ до панелі управління малваре.
Поширюється цей троян декількома шляхами. Зокрема, використовуються методи соціальної інженерії: користувачеві Steam приходить повідомлення про те, що кільком учасникам спільноти в команду потрібен новий гравець. Після одного спільного матчу для зручності подальшої взаємодії потенційній жертві пропонують завантажити і встановити програму-клієнт для голосового спілкування. Зловмисники відправляють жертві посилання на підроблений сайт цього додатка. За посиланням під виглядом програми завантажується малваре.
Якщо потенційна жертва вже використовує TeamSpeak, тоді їй надсилають адресу сервера, до якого підключається команда гравців для спільного спілкування. Після підключення до цього сервера на екрані жертви відображається вікно з пропозицією оновити будь-якої з компонентів програми TeamSpeak або драйвер аудиоподсистеми. Під виглядом цього поновлення на комп'ютер знову ж завантажується шкідлива програма.
При запуску Trojan.PWS.Steam.13604 вивантажує процес додатки Steam (якщо цей процес - не його власний), а потім визначає шлях до каталогу Steam, мова програми та ім'я користувача. Виявивши один із службових файлів Steam, троян витягує з нього пари, що складаються з ідентифікаторів steamid64 і імен облікових записів. Потім він відсилає на керуючий сервер всю зібрану на зараженому комп'ютері інформацію, в тому числі версію операційної системи, ім'я користувача і машини, мова ОС, шлях до програми Steam, мовну версію цього додатка і так далі
Виконавши вказані дії, шкідливий видаляє оригінальний файл програми Steam і копіює себе на його місце. Щоб позбавити користувача можливості оновити клієнт Steam або отримати технічну допомогу, він також змінює вміст файлу hosts, блокуючи доступ до сайтів steampowered.com, support.steampowered.com, store.steampowered.com, help.steampowered.com, forums.steampowered.com , virustotal.com і деяким іншим.
Після цього Trojan.PWS.Steam.13604 виводить на екран підроблене вікно авторизації Steam. Якщо жертва вводить в нього свої облікові дані, троян намагається авторизуватися з їх допомогою в сервісі Steam. Якщо ця спроба увінчалася успіхом і на комп'ютері був включений Steam Guard (система двофакторної аутентифікації для захисту облікового запису користувача), малваре виводить на екран підроблене вікно для введення коду авторизації. Вся ця інформація так само пересилається на сервер зловмисників.
Дослідники пишуть, що для всіх своїх клієнтів Faker використовує один і той же керуючий сервер. З отриманих даних на ньому формується файл, який в подальшому зловмисники використовують для доступу до облікового запису жертви в сервісі Steam. Інтерфейс панелі адміністрування Trojan.PWS.Steam.13604 показаний на ілюстраціях нижче.
Trojan.PWS.Steam.15278
Але вищеописана малваре - не єдине шкідливе рішення, яке Faker здає в оренду. Крім цього, фахівці «Доктор Веб» виявили Trojan.PWS.Steam.15278 . Цей шкідливий поширюється аналогічним способом і орієнтований на розкрадання предметів з ігрового інвентарю у користувачів платформи Steam. Викрадені віртуальні предмети зловмисники можуть згодом перепродати іншим гравцям.
Дана малваре використовує в своїй роботі додаток Fiddler - безкоштовну утиліту для аналізу трафіку при передачі даних по протоколу HTTP, що працює за принципом проксі-сервера. Fiddler встановлює в систему кореневий сертифікат, завдяки чому троян отримує можливість прослуховувати зашифрований HTTPS-трафік. Таким чином він перехоплює відповіді сервера і підміняє в них дані.
Якщо користувач зараженої машини обмінюється з іншими гравцями предметами з інвентарю на спеціально призначених для цього майданчиках, таких як opskins.com, igxe.cn, bitskins.com, g2a.com, csgo.tm, market.csgo.com, market.dota2. net і tf2.tm, в останній момент укладання угоди троян підмінює одержувача ігрового предмета.
Підміна це наступним чином. Після того як жертва виставить на продаж або обмін предмети зі свого ігрового інвентарю, шкідливий підключається до її аккаунту і з певним часовим інтервалом перевіряє надходять пропозиції. Якщо користувач зараженого комп'ютера отримує запит на проведення операції, троянець скасовує цей запит, визначає ім'я користувача, його аватар, а також текст повідомлення з оригінального запиту і висилає жертві в точності такий же запит, але вже від імені належить зловмисникам облікового запису. Фізично підміна здійснюється з використанням веб-Інжект: малваре вбудовує в сторінки отриманий з керуючого сервера шкідливий код. Дослідники відзначають, що Faker є автором та інших троянів, які працюють за аналогічним принципом і реалізованих у вигляді розширення для браузера Google Chrome.
При обміні через офіційний сайт steamcommunity.com, малваре дозволяє зловмисникам підміняти відображення ігрових предметів у користувача. Троян модифікує вміст веб-сторінок сервісу steamcommunity.com таким чином, щоб потенційна жертва бачила пропозицію про обмін дуже дорогого і рідкісного ігрового предмета. Якщо користувач схвалить цю угоду, замість очікуваного предмета він отримає будь-якої тривіальний і дешевий предмет.
Оскаржити подібний несправедливий обмін згодом практично неможливо, оскільки з точки зору сервера користувач сам і добровільно зробив цю угоду. Наприклад, на сторінці сервісу steamcommunity.com користувач зараженого комп'ютера побачить, ніби інший учасник сервісу пропонує йому до обміну ігровий предмет «PLAYERUNKNOWN's Bandana» вартістю $ 265.31. Насправді ж після закінчення операції він отримає «Combat Pants (White)» - ціна цього предмета становить лише $ 0.03.
Панель управління Trojan.PWS.Steam.15278 в цілому схожа з адміністративною панеллю Trojan.PWS.Steam.13604, проте в оновленій версії є додатковий розділ, що дозволяє управляти замінами ігрових предметів при здійсненні угод обміну. Зловмисник може сам налаштовувати зображення і описи ігрових предметів, які будуть показані жертві замість реальних. Отримані обманним шляхом ігрові предмети кіберзлочинці згодом можуть продати за реальні гроші на мережевих торгових майданчиках.
Фахівці «Доктор Веб» повідомляють, що вже передали компанії Valve Corporation всю інформацію про скомпрометованих облікових записах користувачів, а також про акаунти, які використовувалися в описаних вище шахрайських схемах.