Киберпреступник заработал миллионы, избрав целью популярную игровую платформу Steam

wumbo12

Пользователь
Сообщения
172
Симпатии
70
Баллы
38
#1
30 мая 2018 года

Аналитики «Доктор Веб» раскрыли преступную схему, позволившую злоумышленнику заработать миллионы рублей. Киберпреступник, скрывающийся под псевдонимом «Faker», разработал систему аренды вредоносных программ по подписке, приносящую ему значительный доход. Среди пострадавших — множество пользователей игровой платформы Steam.

«Faker» использует несколько способов незаконного заработка. Главный среди них — разработанная им схема MaaS (Malware As a Service), реализующая аренду вредоносных программ по подписке. От клиентов «Faker»’а, желающих зарабатывать на распространении троянцев, не требуется ничего, кроме денег и, в некоторых случаях, домена: вирусописатель предоставляет им самого троянца, доступ к административной панели и техническую поддержку. По подсчетам аналитиков «Доктор Веб», это решение «под ключ» принесло своему создателю миллионы, а сколько на этом заработали его клиенты, остается только догадываться – с учетом того, что потраченные деньги на оплату месяца использования этой криминальной услуги могут окупиться за сутки. Все созданные «Faker»’ом вредоносные программы угрожают пользователям популярного игрового сервиса Steam.

Steam — это разработанная компанией Valve Corporation платформа, предназначенная для цифрового распространения компьютерных игр и программ. Зарегистрированный пользователь Steam получает доступ к личному кабинету, в котором собрана информация обо всех приобретенных им ранее играх и приложениях. Помимо этого, он может совершать покупки в магазине Steam, приобретая различный цифровой контент, а также продавать и обменивать игровые предметы. Эти предметы имеют ключевое значение в различных многопользовательских играх. Оружие, амуниция и различный инвентарь позволяют менять внешний вид игрока и визуальное представление его имущества в игре. Игровые предметы можно обменивать на специализированных сайтах, а также покупать и продавать за реальные деньги. Именно на этом построил свой криминальный бизнес «Faker».

Один из применяемых им способов заработка — так называемые «рулетки». Так сетевые игроки называют своеобразные аукционы, на которые сразу несколько участников выставляют различные игровые предметы. Вероятность выигрыша зависит от размера сделанной участником ставки, а победитель забирает все участвующие в розыгрыше лоты. Мошенничество заключается в том, что против реального игрока выступают специальные программы-боты, которые гарантированно выигрывают ставку. Иногда потенциальной жертве предлагают стать администратором такой игры и даже позволяют несколько раз выиграть, прежде чем она выставит на очередной кон какой-либо дорогой игровой предмет, который тут же будет проигран и перейдет в собственность злоумышленников.

proxy.php?image=https%3A%2F%2Fst.drweb.com%2Fstatic%2Fnew-www%2Fpravda%2Fissue%2Froulette.1.png&hash=1360978ff4a977080d9221ed3b309447


proxy.php?image=https%3A%2F%2Fst.drweb.com%2Fstatic%2Fnew-www%2Fpravda%2Fissue%2Fdota-2_roulette.1.png&hash=107ff5d871cc0eda485a0fe2560950e5


proxy.php?image=https%3A%2F%2Fst.drweb.com%2Fstatic%2Fnew-www%2Fpravda%2Fissue%2Fscgoroulette.1.png&hash=0d4c7eee9ba3a10686ce21dd5f969a5e


Административная панель «рулеток» позволяет гибко настраивать внешний вид сайта, на котором производятся розыгрыши, его отображаемое содержимое, менять имена и текст в организованном на сайте чате, управлять ставками, просматривать список принятых у других игроков предметов, а также полностью управлять «рулеткой».

proxy.php?image=https%3A%2F%2Fst.drweb.com%2Fstatic%2Fnew-www%2Fpravda%2Fissue%2Ffaker_roulette_00_ready.1.png&hash=a1c9ac85edc89ace4e119442e7318bc5


proxy.php?image=https%3A%2F%2Fst.drweb.com%2Fstatic%2Fnew-www%2Fpravda%2Fissue%2Ffaker_roulette_02.1.png&hash=f1c13e286340fc74e245ff0c8d182d80


proxy.php?image=https%3A%2F%2Fst.drweb.com%2Fstatic%2Fnew-www%2Fpravda%2Fissue%2Ffaker_roulette_03_ready.1.png&hash=ac8cfa7f46732396f8142e58708f70f8


proxy.php?image=https%3A%2F%2Fst.drweb.com%2Fstatic%2Fnew-www%2Fpravda%2Fissue%2Ffaker_roulette_05_ready.1.png&hash=d703c6d51821188e51384994c9de054d


proxy.php?image=https%3A%2F%2Fst.drweb.com%2Fstatic%2Fnew-www%2Fpravda%2Fissue%2Ffaker_roulette_06_ready.1.png&hash=f1b5ca49ea590ffe27c48b1b63ed350f


proxy.php?image=https%3A%2F%2Fst.drweb.com%2Fstatic%2Fnew-www%2Fpravda%2Fissue%2Ffaker_roulette_09_ready.1.png&hash=b6c57c1e91d8c064ee1b02c0bb5ecce5


Кроме того, «Faker» предоставляет в аренду другим киберпреступникам созданные им вредоносные программы. Одна из них получила наименование Trojan.PWS.Steam.13604, она предназначена для хищения учетных данных пользователей Steam. Создатель троянца на условиях ежемесячной абонентской платы предоставляет киберпреступникам собранный для них вредоносный файл, а также доступ к панели управления.

proxy.php?image=https%3A%2F%2Fst.drweb.com%2Fstatic%2Fnew-www%2Fpravda%2Fissue%2Fforum1.1.png&hash=03805a45728b4514d4217a479b49a644


Распространяется троянец несколькими путями. Один из них использует методы социальной инженерии: пользователю Steam приходит сообщение о том, что нескольким участникам сообщества в команду требуется новый игрок. После одного совместного матча для удобства дальнейшего взаимодействия потенциальной жертве предлагают скачать и установить программу-клиент для голосового общения. Злоумышленники отправляют жертве ссылку на поддельный сайт этого приложения. По ссылке под видом программы загружается троянец.

proxy.php?image=https%3A%2F%2Fst.drweb.com%2Fstatic%2Fnew-www%2Fpravda%2Fissue%2Fstm_1.1.png&hash=67cc9c849fec09b7db1335fe6d5ba975


Если потенциальная жертва уже использует чат-клиент TeamSpeak, ей присылают адрес сервера, к которому подключается команда игроков для совместного общения. После подключения к этому серверу на экране жертвы отображается окно с предложением обновить какой-либо из компонентов приложения TeamSpeak или драйвер аудиоподсистемы. Под видом этого обновления на компьютер скачивается вредоносная программа.

При запуске троянец выгружает процесс приложения Steam (если этот процесс – не его собственный), затем определяет путь к каталогу Steam на компьютере, язык приложения и имя пользователя. При наличии одного из служебных файлов программы Steam Trojan.PWS.Steam.13604 извлекает из него пары, состоящие из идентификаторов steamid64 и имен учетных записей. Затем троянец отсылает на управляющий сервер собранную на зараженном компьютере информацию, в том числе версию операционной системы, имя пользователя и машины, язык ОС, путь к приложению Steam, языковую версию этого приложения и т. д.

Выполнив указанные действия, вредоносная программа удаляет оригинальный файл приложения Steam и копирует себя на его место. Чтобы лишить пользователя возможности обновить клиент Steam или получить техническую помощь, троянец меняет содержимое файла hosts, блокируя доступ к сайтам steampowered.com, support.steampowered.com, store.steampowered.com, help.steampowered.com, forums.steampowered.com, virustotal.com и некоторым другим. Затем Trojan.PWS.Steam.13604 показывает на экране поддельное окно авторизации Steam. Если жертва вводит в него свои логин и пароль, троянец пытается авторизоваться с их помощью в сервисе Steam. Если эта попытка увенчалась успехом и на компьютере включен Steam Guard — система двухфакторной аутентификации для защиты учетной записи пользователя, — троянец выводит на экран поддельное окно для ввода кода авторизации. Вся эта информация отсылается на сервер злоумышленников.

Для всех своих клиентов вирусописатель использует один и тот же управляющий сервер. Из полученных данных на нем формируется файл, который в дальнейшем злоумышленники используют для доступа к учетной записи жертвы в сервисе Steam. Интерфейс панели администрирования Trojan.PWS.Steam.13604 показан на следующих иллюстрациях:

proxy.php?image=https%3A%2F%2Fst.drweb.com%2Fstatic%2Fnew-www%2Fpravda%2Fissue%2FTrojan.PWS.Steam.13604_adm_00_02.1.png&hash=48d9119c4e799fca0471af6e0523a862


proxy.php?image=https%3A%2F%2Fst.drweb.com%2Fstatic%2Fnew-www%2Fpravda%2Fissue%2FTrojan.PWS.Steam.13604_adm_01_02.1.png&hash=d93cda149df5cc3ed3c87e5ffc62d999


proxy.php?image=https%3A%2F%2Fst.drweb.com%2Fstatic%2Fnew-www%2Fpravda%2Fissue%2FTrojan.PWS.Steam.13604_adm_02_02.1.png&hash=4141abc2e36da9181649b2ac13c68b3f


proxy.php?image=https%3A%2F%2Fst.drweb.com%2Fstatic%2Fnew-www%2Fpravda%2Fissue%2FTrojan.PWS.Steam.13604_adm_03_02.1.png&hash=480b1b2d622171c6cda2d63caec568f9


proxy.php?image=https%3A%2F%2Fst.drweb.com%2Fstatic%2Fnew-www%2Fpravda%2Fissue%2FTrojan.PWS.Steam.13604_adm_05.1.png&hash=146af8390760e6d5164f661e2f117108


Помимо Trojan.PWS.Steam.13604 «Faker» сдает в аренду еще одного созданного им троянца. Он получил наименование Trojan.PWS.Steam.15278. Эта вредоносная программа распространяется аналогичным способом и ориентирована на хищение игрового инвентаря у пользователей платформы Steam. Похищенные виртуальные предметы злоумышленники могут впоследствии продать другим игрокам. Вирусописатель также рекламирует услугу по аренде этой вредоносной программы на специализированных форумах.

proxy.php?image=https%3A%2F%2Fst.drweb.com%2Fstatic%2Fnew-www%2Fpravda%2Fissue%2Fforum2.1.png&hash=126c857d1f10ec2a30a6077c1d717184


Trojan.PWS.Steam.15278 использует в своей работе приложение Fiddler — бесплатную утилиту для анализа трафика при передаче данных по протоколу HTTP, работающую по принципу прокси-сервера. Fiddler устанавливает в систему корневой сертификат, благодаря чему Trojan.PWS.Steam.15278 получает возможность прослушивать зашифрованный HTTPS-трафик. Троянец перехватывает ответы сервера и подменяет в них данные.

Если пользователь зараженной машины обменивается с другими игроками инвентарем на специально предназначенных для этого площадках, таких как opskins.com, igxe.cn, bitskins.com, g2a.com, csgo.tm, market.csgo.com, market.dota2.net и tf2.tm, в момент совершения обменной сделки троянец подменяет получателя игрового предмета. Происходит это так. После того как жертва троянца выставит на продажу или обмен собственный игровой инвентарь, вредоносная программа подключается к его аккаунту и с определенным временным интервалом проверяет поступающие предложения. Если предложивший для обмена какой-либо предмет пользователь зараженного компьютера получает запрос на совершение сделки, троянец отменяет этот запрос, определяет имя пользователя, его аватар, а также текст сообщения из оригинального запроса и высылает жертве в точности такой же запрос, но от имени принадлежащей злоумышленникам учетной записи. Физически подмена осуществляется с использованием веб-инжектов: Trojan.PWS.Steam.15278 встраивает в страницы полученный с управляющего сервера вредоносный код. Следует отметить, что «Faker» является автором и других троянцев, работающих по аналогичному принципу и реализованных в виде расширения для браузера Google Chrome.

proxy.php?image=https%3A%2F%2Fst.drweb.com%2Fstatic%2Fnew-www%2Fpravda%2Fissue%2FBot%2520ExChange.1.png&hash=35c8577c6b6f4a43515fb83e698ba5d3


При обмене инвентаря через официальный сайт steamcommunity.com Trojan.PWS.Steam.15278 позволяет злоумышленникам подменять отображение игровых предметов у пользователя. Троянец модифицирует содержимое веб-страниц сервиса steamcommunity.com таким образом, что потенциальная жертва видит предложение об обмене очень дорогого и редкого игрового предмета. Если пользователь одобрит сделку, вместо ожидаемого предмета он получит какой-либо тривиальный и дешевый элемент инвентаря. Оспорить подобный несправедливый обмен впоследствии практически невозможно, поскольку с точки зрения сервера пользователь сам и добровольно совершил эту сделку. Например, на странице сервиса steamcommunity.com пользователь зараженного компьютера увидит, будто другой участник сервиса предлагает ему к обмену игровой предмет под названием «PLAYERUNKNOWN's Bandana» стоимостью $265.31. На самом же деле по завершении сделки он получит «Combat Pants (White)» — цена этого предмета составляет всего лишь $0.03.

Панель управления Trojan.PWS.Steam.15278 в целом схожа с административной панелью Trojan.PWS.Steam.13604, однако в обновленной версии появился дополнительный раздел, позволяющий управлять заменами игровых предметов при осуществлении сделок обмена. Злоумышленник может сам настраивать изображения и описания игровых предметов, которые будут показаны жертве вместо реальных. Полученный обманным путем игровой инвентарь киберпреступники впоследствии могут продать за реальные деньги на сетевых торговых площадках.

proxy.php?image=https%3A%2F%2Fst.drweb.com%2Fstatic%2Fnew-www%2Fpravda%2Fissue%2FTrojan.PWS.Steam.15278_adm_02.1.png&hash=f94ac61bdf61322da1671ccc4825eef4


proxy.php?image=https%3A%2F%2Fst.drweb.com%2Fstatic%2Fnew-www%2Fpravda%2Fissue%2FTrojan.PWS.Steam.15278_adm_03.1.png&hash=5a4269c56fb6721c7121fa7bde872ab7


proxy.php?image=https%3A%2F%2Fst.drweb.com%2Fstatic%2Fnew-www%2Fpravda%2Fissue%2FTrojan.PWS.Steam.15278_adm_04.1.png&hash=2ca25b5c6559896da4b90f142081c43d


Все известные на сегодняшний день модификации Trojan.PWS.Steam.13604 и Trojan.PWS.Steam.15278 успешно детектируются и удаляются Антивирусом Dr.Web, поэтому они не представляют опасности для наших пользователей. Специалисты «Доктор Веб» передали в компанию Valve Corporation информацию о скомпрометированных учетных записях пользователей, а также об аккаунтах, которые использовались в описанных выше мошеннических схемах.

Подробнее о Trojan.PWS.Steam.13604

Подробнее о Trojan.PWS.Steam.15278
 
Сверху Снизу