eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plWiadomościTechnologieInternetPlatforma Steam znowu w niebezpieczeństwie

Platforma Steam znowu w niebezpieczeństwie

2014-11-06 12:37

Platforma Steam znowu w niebezpieczeństwie

Grafika pobrana ze strony atakującego © fot. mat. prasowe

PRZEJDŹ DO GALERII ZDJĘĆ (2)

Do niedawna postrach na platformie Steam budził Trojan SteamBurglar.1 - złodziej wykradający cenne przedmioty należące do użytkowników gry komputerowej Dota 2. Okazuje się jednak, że nie jest to jedyne zagrożenie, które może zaszkodzić graczom. W ostatnim czasie analitycy Doctor Web przyjrzeli się próbce nowego szkodliwego wirusa (Trojan.SteamLogger.1), którego cechy wskazują na znaczne podobieństwo do poprzednika. Co więcej okazuje się, że grono zagrożonych gier jest coraz większe.

Przeczytaj także: KNF ostrzega banki przed hakerami

Nowy wirus może wykradać przedmioty użytkowników gier Dota 2, Counter-Strike: Global Offensive oraz Team Fortress 2. Ponadto zapisuje on sekwencję wybieranych klawiszy i przekazuje te informacje przestępcom. Można przypuszczać, że podobnie jak jego poprzednik, Trojan. SteamLogger.1 jest rozpowszechniany za pośrednictwem forum lub czatu platformy Steam, poprzez wiadomości z ofertą kupna, sprzedaży, bądź wymiany wirtualnych przedmiotów.

Złośliwy program składa się z trzech modułów: pierwszy to tzw. dropper, który rozszyfrowuje i wyodrębnia ze swojego kodu dwa pozostałe moduły, główny oraz serwisowy. Ten ostatni jest zapisywany w tymczasowym folderze jako Update.exe, aby następnie mógł zostać uruchomiony. Moduł główny jest ładowany do zainfekowanej pamięci systemowej, co oznacza, że staje się procedurą systemową. Następnie moduł serwisowy pobiera grafikę ze strony atakującego, zapisuje ją w katalogu tymczasowym i natychmiast potem wyświetla na ekranie:

fot. mat. prasowe

Grafika pobrana ze strony atakującego

Grafika zapisywana jest w katalogu tymczasowym.


Moduł serwisowy sprawdza czy podkatalog Common Files\Steam\ jest zlokalizowany w Program Files, a jeśli go tam nie ma to moduł tworzy go. Następnie moduł kopiuje siebie do folderu o nazwie SteamService.exe, ustawia atrybuty pliku wykonywalnego na „systemowy” i „ukryty”, po czym dodaje wpis do rejestru, po to, aby SteamService.exe był uruchamiany automatycznie. Kolejnym etapem jest wysłanie zapytania przez moduł serwisowy do strony cyberprzestępców, a jeśli instrukcja „OK” nie wraca to próbuje on nawiązać połączenie z serwerem dowodzenia i kontroli za pośrednictwem któregokolwiek z serwerów proxy ze swojej listy. Trojan.SteamLogger.1 przekazuje informacje na temat zainfekowanego komputera do serwera zdalnego. Zgromadzone dane zawierają informacje o platformie i wersji systemu operacyjnego, jak również unikalny identyfikator tego systemu, generowany za pomocą numeru seryjnego dysku twardego, na którym zwarta jest partycja C. Ponadto, Trojan.SteamLogger.1 może otrzymać instrukcję aktualizacji swojego modułu serwisowego.

Gdy moduł główny programu Trojan. SteamLogger.1 zostanie uruchomiony i zainicjowany przeszukuje zainfekowaną pamięć systemową pod kątem procesu Steam, aby zweryfikować, czy użytkownik zalogował się na serwerze Steam poprzez swoje konto. Jeżeli tak się nie dzieje to szkodliwy program czeka na autoryzacje gracza przez serwer, po czym pozyskuje informacje o jego koncie Steam, takie jak dostępność SteamGuard, steam-id czy tokeny bezpieczeństwa. Następnym etapem jest przekazanie uzyskanych danych przestępcom. W odpowiedzi, Trojan.SteamLogger.1 otrzymuje listę kont użytkowników, do których mogą zostać przesłane elementy gier, pozyskane z zaatakowanego konta. Wszystkie zgromadzone w ten sposób dane są przesyłane do serwera cyberprzestępców, po czym wirus sprawdza czy włączona jest automatyczna autoryzacja w ustawieniach Steam. Jeśli funkcja jest wyłączona, malware tworzy osobny wątek do uruchomienia programów rejestrujących klawisze naciskane przez użytkownika, tzw. keyloggery. Informacje o użytych klawiszach są wysłane do napastników w odstępach 15 sekund.

Aby wyszukać listę wartościowych przedmiotów z gier, Trojan korzysta z takich słów jak Mythical, Legendary, Arcana, Immortal, DOTA_WearableType_Treasure_Key, Container, Supply Crate. W ten właśnie sposób Trojan próbuje wykraść najcenniejsze przedmioty, skrzynie oraz klucze skrzyń. Trojan.SteamLogger.1 monitoruje również czy gracze próbują odsprzedać sobie wirtualne elementy gry, a jeśli tak, automatycznie usuwa te elementy z dialogowego okna sprzedaży.

Trojan.SteamLogger.1 atakuje przede wszystkim użytkowników gry Dota 2, Counter-Strike: Global Offensive, Team Fortress 2. Może być jednak z łatwością ulepszony i użyty do kradzieży elementów, pochodzących z innych gier. Wszystkie zdobyte w ten sposób przedmioty są przesyłane na konto cyberprzestępców zgodnie z instrukcjami otrzymanymi z serwera sterująco-zarządzającego. Przestępcy używają specjalnie w tym celu utworzonego e-sklepu i za jego pośrednictwem sprzedają tę część zgromadzonego łupu, która jest najtańsza, czyli klucze skrzyń do gry Dota 2. Na razie nie wiadomo, w jaki sposób hakerzy zarabiają na innych skradzionych przedmiotach.

fot. mat. prasowe

Pobranie klucza skrzyń do gry Dota 2

Trojan.SteamLogger.1 upodobał sobie przede wszystkim użytkowników gry Dota 2.


Sygnatura programu Trojan.SteamLogger.1 została dodana do bazy wirusów programu Dr.Web, dzięki czemu użytkownicy korzystający z oprogramowania firmy Doctor Web są chronieni przed tym zagrożeniem.

Skomentuj artykuł Opcja dostępna dla zalogowanych użytkowników - ZALOGUJ SIĘ / ZAREJESTRUJ SIĘ

Komentarze (0)

DODAJ SWÓJ KOMENTARZ

Eksperci egospodarka.pl

1 1 1

Wpisz nazwę miasta, dla którego chcesz znaleźć jednostkę ZUS.

Wzory dokumentów

Bezpłatne wzory dokumentów i formularzy.
Wyszukaj i pobierz za darmo: