Онлайн-игры являются на сегодняшний день очень распространенными, поэтому неудивительно, что их пользователи становятся мишенью для злоумышленников. В этом посте мы рассмотрим наиболее распространенные типы атак, которые угрожают игрокам. Как в случае и с другими пользователями, игроки могут стать жертвой фишинговых сообщений, а также фальшивых приложений.
На сегодняшний день известно существенное количество экземпляров троянов Win32/PSW.OnLineGames, которые специализируются на краже конфиденциальной информации онлайн-игр или осуществлении иных мошеннических операций с очками персонажей игры пользователя. Рассмотрим каждую из угроз более подробно.
Мы уже неоднократно писали о деструктивных свойствах вымогателей-шифровальщиков. Это вредоносное ПО специализируется на шифровании файлов пользователя с последующим требованием выкупа за расшифровку.
Среди других представителей семейств шифровальщиков, TeslaCrypt выделяется тем, что он специализируется на шифровании файлов данных, принадлежащих играм. Среди этих игр такие известные как Call of Duty и Minecraft. TeslaCrypt блокирует доступ пользователю к файлам сохранений игры, конфигурационным файлам, а также файлам игровых элементов.
Если мы посмотрим на график ниже, то увидим количество обнаружений TeslaCrypt со стороны AV продуктов ESET в 2016 г. Максимальный уровень обнаружений приходится на март, достигнув отметки в более чем полмиллиона случаев.
Тем не менее, существует два ключевых момента, о которых стоит упомянуть. Во-первых, TeslaCrypt больше не развивается — разработчики закрыли сервис восстановления файлов. Тем не менее, сама вредоносная программа может все еще распространяться и успешно заражать системы пользователей онлайн-игр. Хорошей новостью является тот факт, что авторы вымогателя опубликовали универсальный ключ расшифровки файлов, который был использован в инструменте расшифровки файлов от ESET.
Во-вторых, такой тип вымогателей, который нацелен на шифрование файлов игры, не является эффективным, поскольку современные игры хранят файлы сохраненной игры и настройки на удаленном сервере, делая возможным процесс восстановления файлов из облака в случае их потери. Таким образом, те игры, которые не хранят свои данные на удаленном сервере, более подвержены вредоносным действиям вымогателя.
Похитители паролей онлайн-игр чем-то похожи на простые кейлоггеры, которые специализируются на краже набранных пользователем паролей путем сохранения набранного пользователем текста в отдельный файл. Такие вредоносные программы могут похищать данные учетных записей пользователей таких игровых платформ как Steam или Origin.
Киберпреступники используют методы социальной инженерии для обмана пользователей и убеждения их для выполнения операции загрузки вредоносного ПО с его последующим запуском. Наиболее распространенным методом обмана является отправка в чате сообщения предполагаемой жертве с предложением другого игрока присоединиться к его команде. Этот неизвестный жертве игрок, как правило, является очень дружелюбным и хвалит ее за хорошие игровые навыки, при этом предлагая ему присоединиться к команде продвинутых игроков.
В какой-то момент времени, жертве будет предложено загрузить и установить приложение, например, программу для голосовой связи. При этом злоумышленник будет довольно настойчив в своей просьбе и будет говорить жертве, что для присоединения к команде ему обязательно нужно установить это приложение. Разумеется, после загрузки и запуска приложения, пользователь устанавливает к себе в систему похититель паролей.
На рисунке выше показан фрагмент чата, в котором злоумышленник уговаривает свою жертву установить приложение. Антивирусные продукты ESET обнаруживают и блокируют большое количество загружаемых таким способом вредоносных программ. Одна из таких вредоносных программ обнаруживается нашими продуктами как Win32/PSW.OnLineGames.NNU. В этом случае кроме кражи учетных данных и кейлоггинга, вредоносная программа ищет файлы данных некоторых игр, например, World of Warcraft. Другой экземпляр данного семейства под названием Win32/PSW.OnLineGames.OUM принимает и исполняет команды, полученные с удаленного C&C-сервера. Он также пытается нейтрализовать установленные у пользователя в системе антивирусные продукты.
В 2016 г. количество обнаружений вредоносного ПО Win32/PSW.OnLineGames доходило до четверти миллиона экземпляров.
Стоит упомянуть и другие вредоносные программы, которые направлены на компрометацию известной игровой платформы Steam. Первая называется MSIL/Stimilik.H, она написана на C# и позволяет атакующим получать удаленный доступ к скомпрометированной системе. Вторая называется Win32/PSW.Steam.NBC и обладает схожими характеристиками. Существует и вредоносная программа под названием Steamlocker, которая блокирует доступ к сервису Steam и требует выкуп за разблокировку.
Этот метод компрометации пользователей относится к социальной инженерии, вне зависимости от того, на установку каких вредоносных программ он рассчитан. Такая мошенническая схема заключается в том, что пользователю предлагается взломщик какой-либо из игр, который на самом деле представляет из себя вредоносное ПО и не обладает заявленным функционалом.
В качестве одного из примеров можно привести недавно обнаруженный нашими специалистами «взломщик» компьютерной игры FIFA 16. Он распространялся через серверы EA и размещался на хостинге Mediafire. Файл имеет название fifa16crack (SHA1: 39fb3bdd0a4424eb8bb0489309f6d42d79cee1ce), а его значок убеждает пользователя в легитимности взломщика.
Несмотря на то, что взломщик исполняет свою функцию и предоставляет возможность игры без лицензии, он также устанавливает в систему вредоносное ПО. Как мы можем увидеть, на самом деле, файл взломщика представляет из себя самораспаковывающийся SFX-архив, который исполняет .bat файлы с определенными командами для установки майнера криптовалют. Пользователь ПК может быстро заметить проблему, поскольку майнинг существенно замедлит производительность системы.
Картинка выше показывает один из конфигурационных файлов вредоносной программы. Она специализируется на майнинге нескольких типов криптовалют. Например, другой конфигурационный файл указывает на майнинг криптовалюты Monero.
Стоит также помнить, что несмотря на присутствие заявленного функционала в приложении взломщика, это не гарантирует отсутствие в нем вредоносного кода. Поэтому важно иметь у себя на компьютере установленное антивирусное ПО и не отключать его в том случае, когда оно сигнализирует о присутствии вредоносного кода в файле взломщика. Даже сегодня мы по-прежнему видим, что некоторые скомпрометированные приложения 10-летней давности являются все еще активными, например, к ним относятся модифицированные версии Aimbot или Wallhack Counter Strike.
На сегодняшний день большое количество людей играют в игры не только на компьютерах, но и на своих смартфонах, а также планшетах. Поэтому пользователям следует быть более осторожными и обращать внимание на поддельные приложения, которые маскируются под легитимные игры или обновления.
Начиная с 2015 года мы фиксировали появление различных вредоносных мобильных приложений, которые маскировались под известные игры и выполняли различные типы атак на пользователей со скомпрометированных устройств. Вероятно, одним из наиболее опасных таких приложений был обнаруженный нами бэкдор Android/TrojanDropper.Mapin, который предоставлял злоумышленникам возможность удаленного управления устройства. Он маскировался под такие игры как Plants vs. Zombies 2 и Subway Surfers. Mapin использовался злоумышленниками и для показа полноэкранной рекламы пользователю.
Другим известным случаем фальшивого приложения является уже описанное нами scareware-приложение, которое маскировалось под игру Minecraft. Приложение было загружено в магазине Google Play более 600 тыс. раз. Оно представляет из себя фальшивый антивирус, который обнаруживает на устройстве «угрозы» и предлагает пользователю подписаться на платный сервис рассылки SMS-сообщений для удаления угроз.
Наконец, можно упомянуть первый вымогатель для Android, который использует тему игры Pockemon Go в своих целях. В этом случае устройство пользователя блокируется и нормальная работа за ни становится невозможной. Для разблокировки устройства можно воспользоваться функцией перезагрузки, однако, приложение все равно продолжит работу в фоновом режиме, выполняя переходы (клики) по ссылкам порно-сайтов.
Наиболее распространенным методом атаки на пользователей онлайн-игр остается фишинг. Злоумышленники используют для кражи учетных данных пользователя фальшивые веб-сайты, а также фальшивые электронные сообщения, которые инструктируют пользователя на отправку конфиденциальных данных в ответном электронном сообщении. Фальшивый веб-сайт может частично или почти полностью имитировать интерфейс оригинального веб-сайта, кража логина и пароля в таком случае будет происходить с помощью фальшивой формы ввода этих данных для входа в аккаунт.
Ниже перечислен список рекомендаций, следуя которым вы существенно снизите риск заражения вышеуказанным вредоносным ПО.
На сегодняшний день известно существенное количество экземпляров троянов Win32/PSW.OnLineGames, которые специализируются на краже конфиденциальной информации онлайн-игр или осуществлении иных мошеннических операций с очками персонажей игры пользователя. Рассмотрим каждую из угроз более подробно.
#1 TeslaCrypt
Мы уже неоднократно писали о деструктивных свойствах вымогателей-шифровальщиков. Это вредоносное ПО специализируется на шифровании файлов пользователя с последующим требованием выкупа за расшифровку.
Среди других представителей семейств шифровальщиков, TeslaCrypt выделяется тем, что он специализируется на шифровании файлов данных, принадлежащих играм. Среди этих игр такие известные как Call of Duty и Minecraft. TeslaCrypt блокирует доступ пользователю к файлам сохранений игры, конфигурационным файлам, а также файлам игровых элементов.
Если мы посмотрим на график ниже, то увидим количество обнаружений TeslaCrypt со стороны AV продуктов ESET в 2016 г. Максимальный уровень обнаружений приходится на март, достигнув отметки в более чем полмиллиона случаев.
Тем не менее, существует два ключевых момента, о которых стоит упомянуть. Во-первых, TeslaCrypt больше не развивается — разработчики закрыли сервис восстановления файлов. Тем не менее, сама вредоносная программа может все еще распространяться и успешно заражать системы пользователей онлайн-игр. Хорошей новостью является тот факт, что авторы вымогателя опубликовали универсальный ключ расшифровки файлов, который был использован в инструменте расшифровки файлов от ESET.
Во-вторых, такой тип вымогателей, который нацелен на шифрование файлов игры, не является эффективным, поскольку современные игры хранят файлы сохраненной игры и настройки на удаленном сервере, делая возможным процесс восстановления файлов из облака в случае их потери. Таким образом, те игры, которые не хранят свои данные на удаленном сервере, более подвержены вредоносным действиям вымогателя.
#2 Похитители паролей
Похитители паролей онлайн-игр чем-то похожи на простые кейлоггеры, которые специализируются на краже набранных пользователем паролей путем сохранения набранного пользователем текста в отдельный файл. Такие вредоносные программы могут похищать данные учетных записей пользователей таких игровых платформ как Steam или Origin.
Киберпреступники используют методы социальной инженерии для обмана пользователей и убеждения их для выполнения операции загрузки вредоносного ПО с его последующим запуском. Наиболее распространенным методом обмана является отправка в чате сообщения предполагаемой жертве с предложением другого игрока присоединиться к его команде. Этот неизвестный жертве игрок, как правило, является очень дружелюбным и хвалит ее за хорошие игровые навыки, при этом предлагая ему присоединиться к команде продвинутых игроков.
В какой-то момент времени, жертве будет предложено загрузить и установить приложение, например, программу для голосовой связи. При этом злоумышленник будет довольно настойчив в своей просьбе и будет говорить жертве, что для присоединения к команде ему обязательно нужно установить это приложение. Разумеется, после загрузки и запуска приложения, пользователь устанавливает к себе в систему похититель паролей.
На рисунке выше показан фрагмент чата, в котором злоумышленник уговаривает свою жертву установить приложение. Антивирусные продукты ESET обнаруживают и блокируют большое количество загружаемых таким способом вредоносных программ. Одна из таких вредоносных программ обнаруживается нашими продуктами как Win32/PSW.OnLineGames.NNU. В этом случае кроме кражи учетных данных и кейлоггинга, вредоносная программа ищет файлы данных некоторых игр, например, World of Warcraft. Другой экземпляр данного семейства под названием Win32/PSW.OnLineGames.OUM принимает и исполняет команды, полученные с удаленного C&C-сервера. Он также пытается нейтрализовать установленные у пользователя в системе антивирусные продукты.
В 2016 г. количество обнаружений вредоносного ПО Win32/PSW.OnLineGames доходило до четверти миллиона экземпляров.
Стоит упомянуть и другие вредоносные программы, которые направлены на компрометацию известной игровой платформы Steam. Первая называется MSIL/Stimilik.H, она написана на C# и позволяет атакующим получать удаленный доступ к скомпрометированной системе. Вторая называется Win32/PSW.Steam.NBC и обладает схожими характеристиками. Существует и вредоносная программа под названием Steamlocker, которая блокирует доступ к сервису Steam и требует выкуп за разблокировку.
#3 Фальшивые взломщики (кряки) игр
Этот метод компрометации пользователей относится к социальной инженерии, вне зависимости от того, на установку каких вредоносных программ он рассчитан. Такая мошенническая схема заключается в том, что пользователю предлагается взломщик какой-либо из игр, который на самом деле представляет из себя вредоносное ПО и не обладает заявленным функционалом.
В качестве одного из примеров можно привести недавно обнаруженный нашими специалистами «взломщик» компьютерной игры FIFA 16. Он распространялся через серверы EA и размещался на хостинге Mediafire. Файл имеет название fifa16crack (SHA1: 39fb3bdd0a4424eb8bb0489309f6d42d79cee1ce), а его значок убеждает пользователя в легитимности взломщика.
Несмотря на то, что взломщик исполняет свою функцию и предоставляет возможность игры без лицензии, он также устанавливает в систему вредоносное ПО. Как мы можем увидеть, на самом деле, файл взломщика представляет из себя самораспаковывающийся SFX-архив, который исполняет .bat файлы с определенными командами для установки майнера криптовалют. Пользователь ПК может быстро заметить проблему, поскольку майнинг существенно замедлит производительность системы.
Картинка выше показывает один из конфигурационных файлов вредоносной программы. Она специализируется на майнинге нескольких типов криптовалют. Например, другой конфигурационный файл указывает на майнинг криптовалюты Monero.
Стоит также помнить, что несмотря на присутствие заявленного функционала в приложении взломщика, это не гарантирует отсутствие в нем вредоносного кода. Поэтому важно иметь у себя на компьютере установленное антивирусное ПО и не отключать его в том случае, когда оно сигнализирует о присутствии вредоносного кода в файле взломщика. Даже сегодня мы по-прежнему видим, что некоторые скомпрометированные приложения 10-летней давности являются все еще активными, например, к ним относятся модифицированные версии Aimbot или Wallhack Counter Strike.
#4 Фальшивые приложения
На сегодняшний день большое количество людей играют в игры не только на компьютерах, но и на своих смартфонах, а также планшетах. Поэтому пользователям следует быть более осторожными и обращать внимание на поддельные приложения, которые маскируются под легитимные игры или обновления.
Начиная с 2015 года мы фиксировали появление различных вредоносных мобильных приложений, которые маскировались под известные игры и выполняли различные типы атак на пользователей со скомпрометированных устройств. Вероятно, одним из наиболее опасных таких приложений был обнаруженный нами бэкдор Android/TrojanDropper.Mapin, который предоставлял злоумышленникам возможность удаленного управления устройства. Он маскировался под такие игры как Plants vs. Zombies 2 и Subway Surfers. Mapin использовался злоумышленниками и для показа полноэкранной рекламы пользователю.
Другим известным случаем фальшивого приложения является уже описанное нами scareware-приложение, которое маскировалось под игру Minecraft. Приложение было загружено в магазине Google Play более 600 тыс. раз. Оно представляет из себя фальшивый антивирус, который обнаруживает на устройстве «угрозы» и предлагает пользователю подписаться на платный сервис рассылки SMS-сообщений для удаления угроз.
Наконец, можно упомянуть первый вымогатель для Android, который использует тему игры Pockemon Go в своих целях. В этом случае устройство пользователя блокируется и нормальная работа за ни становится невозможной. Для разблокировки устройства можно воспользоваться функцией перезагрузки, однако, приложение все равно продолжит работу в фоновом режиме, выполняя переходы (клики) по ссылкам порно-сайтов.
#5 Фишинг
Наиболее распространенным методом атаки на пользователей онлайн-игр остается фишинг. Злоумышленники используют для кражи учетных данных пользователя фальшивые веб-сайты, а также фальшивые электронные сообщения, которые инструктируют пользователя на отправку конфиденциальных данных в ответном электронном сообщении. Фальшивый веб-сайт может частично или почти полностью имитировать интерфейс оригинального веб-сайта, кража логина и пароля в таком случае будет происходить с помощью фальшивой формы ввода этих данных для входа в аккаунт.
Рекомендации
Ниже перечислен список рекомендаций, следуя которым вы существенно снизите риск заражения вышеуказанным вредоносным ПО.
- Регулярно обновляйте свои игры и приложения. Для них регулярно выходят обновления, которые могут закрывать использующиеся злоумышленниками уязвимости.
- Используйте антивирусное ПО на компьютере и не отключайте его. Будьте внимательны и обращайте внимание на уведомления приложений, которые просят отключить антивирусную защиту для своего успешного запуска в системе. Некоторые антивирусные продукты имеют в своем составе специальную настройку для игрового режима, которая оптимизирует работу антивирусного ПО во время игры пользователя. Такую настройку имеет антивирусный продукт ESET Smart Security.
- Игнорируйте запросы на отправку секретной информации в чате от других пользователей. Помните, что разработчики игры никогда не запросят у вас секретную информацию. Используйте двухфакторную аутентификацию, в случае ее присутствия, таким образом, даже если злоумышленник получит ваш пароль аккаунта, он не сможет войти в систему с помощью него. Примеры 2FA аутентификации следующих сервисов: Steam Guard / Steam Mobile Authenticator, Login verification для Origin, Blizzard/Battle.NET Authenticator.
- Регулярно изменяйте пароли на своих аккаунтах игровых сервисов. Используйте также секретную фразу и не используйте одинаковые фразы на нескольких сервисах.
Поделиться с друзьями
Комментарии (5)
Superl3n1n
24.10.2016 22:17Кряк с биткоин майнерами должны выпускать сами игродельные компании. Таким образом компенсируя себе «недополученую прибыль» от пиратства.
ju5tify
#6 Мамка
mypomacca
… дневник покажи