![](https://habrastorage.org/getpro/habr/upload_files/3c1/77a/c51/3c177ac5159580bf1ed2d1114a46ec30.png)
Несколько недель назад мы рассказывали об одной эффективной приманке, которая может заставить пользователя Discord задуматься о переходе по мошеннической ссылке, которую ему великодушно дал случайный пользователь или легитимный собеседник, попавшийся на ту же уловку: бесплатная подписка на Discord Nitro.
И подобно тому, как мошенники неоднократно обманывали пользователей Discord, они также наживаются на пользователях Steam (Помните ту аферу "Я случайно сообщил о вас"?).
Однако здесь новизна в том, что мошенники охотятся на обоих пользователей одновременно. С таким обычно не сталкиваешься каждый день.
Это мошенничество в Discord не связано с вашими учетными данными в Discord
Сейчас в Discord циркулирует свежая, активная афера, распространяемая ботами или аккаунтами, контролируемыми мошенниками. Ниже приведен примерный скриншот того, что вы можете обнаружить в своих личных сообщениях:
![Это лишь один из вариантов мошенничества. Это лишь один из вариантов мошенничества.](https://habrastorage.org/getpro/habr/upload_files/690/943/8af/6909438afcce64afbe83d75941bd7406.png)
Смотрите, здесь бесплатное нитро на 1 месяц, просто привяжите свой аккаунт Steam и наслаждайтесь -
{частично отредактированный URL}
Когда пользователи Discord нажимают на ссылку, они попадают на сайт, который выглядит и ощущается как легитимная страница Discord.
![С каких пор Steam начал раздавать бесплатный Discord Nitro? С каких пор Steam начал раздавать бесплатный Discord Nitro?](https://habrastorage.org/getpro/habr/upload_files/a4b/2bb/428/a4b2bb428cda1ede3f61eac03d3f3ef5.png)
При нажатии на кнопку "Получить Nitro" открывается нечто, обманчиво напоминающее всплывающее окно Steam, хотя на самом деле это не отдельное окно, а часть самого сайта.
Эта тактика похожа на ту, которую мошенники использовали около двух лет назад, описанную здесь пользователем Reddit /Bangaladore. В посте он подробно описывает, как он (или его друг) выяснил, что всплывающее окно на самом деле не является таковым: "Если вы попытаетесь перетащить окно из родительского окна хрома, что произойдет? Вы не можете. Оно просто останавливается у края. Если вы прокручиваете подлинную страницу вверх и вниз, знак Steam в [цитата] окне перемещается вместе с ней. Обычное всплывающее окно так себя не ведет".
![Ух... Ух...](https://habrastorage.org/getpro/habr/upload_files/d69/0e1/b9e/d690e1b9e0afda4f60c0eb801b2faea1.png)
Как вы можете видеть выше, у этого конкретного всплывающего окна были некоторые проблемы с загрузкой элементов, поэтому оно выглядит не так, как обычно. Но мы хотели бы отметить, что, хотя сайты, которые мы посетили и проанализировали, связанные с этой аферой, используют один и тот же интерфейс, бывают случаи, когда код не работает, и поддельный URL в поддельной адресной строке не отображается так, как должен. Вот лучший пример с сайта, связанного с этой аферой, на котором все отлично загружается:
![Обратите внимание, что в поддельном всплывающем окне отображается правильный домен "steamcommunity.com", но не обманывайтесь. Это просто еще один способ для мошенников заставить фальшивые вещи выглядеть правдоподобно. Обратите внимание, что в поддельном всплывающем окне отображается правильный домен "steamcommunity.com", но не обманывайтесь. Это просто еще один способ для мошенников заставить фальшивые вещи выглядеть правдоподобно.](https://habrastorage.org/getpro/habr/upload_files/a72/b6e/449/a72b6e449b3652fb4ead76d23c171b7f.png)
Когда пользователи Discord вводят свои учетные данные Steam в поддельном всплывающем окне, появляется сообщение об ошибке: "Имя учетной записи или пароль, которые вы ввели, неверны". Однако за кадром их учетные данные Steam уже сохранены на мошенническом сайте.
Ниже представлен ролик, демонстрирующий эту аферу в действии (благодарность Stefan Dasic, который проанализировал URL-адреса и записал этот ролик):
![Вы только посмотрите на это? Вы только посмотрите на это?](https://habrastorage.org/getpro/habr/upload_files/3d3/c23/a95/3d3c23a957a17e4b1df799c7611052e9.gif)
Malwarebytes уже блокирует 195[dot]133[dot]16[dot]40, IP этой аферы. Мы также обнаружили более сотни других мошеннических доменов, сидящих на этом IP. Вот выборка:
1nitro.club
appnitro-discord.com
asstralissteam.org.ru
discord-steam-promo.com
discordgifte.com
dicsord-ticket.com
discord-appnitro.com
ds-nitro.com
nitro-discordapp.com
nitrodsgiveways.com
steam-nitro.online
Оставайтесь там в безопасности! И, пожалуйста, не переходите по ссылкам, которые появляются неожиданно.
Материал подготовлен в рамках курса «Reverse-Engineering».
Всех желающих приглашаем на бесплатный двухдневный интенсив «Типовые алгоритмы работы файловых инфекторов». На первом занятии мы: разберём структуры PE формата, пройдёмся в них в HEX редакторе, добьёмся необходимых изменений для внедрения кода.
>> РЕГИСТРАЦИЯ
Комментарии (6)
vesper-bot
10.12.2021 12:28Во кто-то заморочился, сколько доменов зарегистрировал! А в чем профит? Со стыренного аккаунта что, можно каких-то денег вывести?
Ritan
10.12.2021 12:33Скины оружия в CS:GO могут стоить каких-то совершенно неадекватных денег. Правда не знаю как потом эти деньги выводить, разве что продавать с оплатой в обход steam
mrHalfer
13.12.2021 00:40Плюс, когда карта привязана - не всегда просит CVV код, гифты игр на всяких "плати" продавать можно
Aracon
Суть же, как я понял, в имитации окна браузера, вот на это надо обращать внимание - что открытое по ссылке окно может быть поддельным, и если оно предлагает авторизацию, то нужно убедиться не только в корректности адреса и проверке SSL, но и настоящее ли это окно.
А остальное - Steam, Discord, Nitro - шелуха, которая может полностью смениться в следующей мошеннической схеме.