Исследование

Все ваши учетные данные принадлежат нам

Эволюция вредоносного ПО, нацеленного на аккаунты и ресурсы платформы Steam

 Скачать полный текст исследования (англ.)

Игровая индустрия с ее ошеломительной ежегодной выручкой, превышающей сто миллиардов долларов, уже не раз сравнивалась с процветающим бизнесом Голливуда и постоянно демонстрировала свое влияние, подтверждая его непрерывным ростом числа своих преданных фанатов. Бесконечный список видеоигр-хитов, мирно сосуществующих с более скромными, но тоже забавными инди-играми, делает цифровые платформы не просто удобным, но и честным способом приобретения новых игр.

Steam – принадлежащий компании Valve кроссплатформенный сервис цифровой дистрибуции контента. Он насчитывает более 140 миллионов зарегистрированных пользователей и более семи тысяч игр, доступных для скачивания, что открывает перед любителями компьютерных игр огромные возможности. Здесь можно найти новейшие игры, загружаемые из облачной среды высокой доступности, а также постоянно растущее сообщество энтузиастов-единомышленников. Число зарегистрированных активных пользователей платформы Steam постоянно растет. При этом большинство из них используют банковские карты для покупки контента, охотно предоставляют свои личные данные и обмениваются предметами с другими участниками через внутриигровую торговлю или обычные аукционы. К большому сожалению, исследования безопасности игнорировали вредоносное ПО, исходя из ошибочного предположения, что на этой площадке не торгуют реальными ценностями. А киберпреступники воспользовались этим пробелом для кражи денег и причинения реального ущерба!

steam_pr

Когда аккаунт взломан, веселье и игры заканчиваются

Организованные преступные группировки со всей Восточной Европы внимательно следили за растущей базой пользователей платформы Steam, за технологиями и процедурами обеспечения безопасности, которые сервис предоставлял своим пользователям. И терпеливо ждали своего шанса. Как и в большинстве социальных сетей, многие профили не раскрывают истинную природу пользователей, пряча их личные данные и платежные реквизиты за искусно выстроенным идентификатором – «электронной личностью». Как сказал бы Юнг, это «своего рода маска, которая, с одной стороны, предназначена для того, чтобы произвести впечатление на других, а с другой стороны, – для того, чтобы скрыть истинную природу индивида». Но что происходит, когда маска неожиданно спадает? Когда аккаунт и вся связанная с ним конфиденциальная информация вдруг становятся добычей неизвестных лиц? Вы удивитесь, но, согласно собственной статистике Steam, этот кошмар ежемесячно становится реальностью для 77 тысяч ничего не подозревающих пользователей. Однако оценить финансовые последствия довольно затруднительно, учитывая, что Steam не обязана раскрывать данную информацию. Хотя у сообщества есть несколько сайтов (таких как SteamSpy или SteamCompanion) для подсчета денег, потраченных с аккаунта пользователя, мы не нашли ни одного сайта, на котором хранились бы архивные записи, чтобы рассчитать среднее значение. По эмпирическим оценкам, основанным на доступных дампах паролей, стоимость учетных данных на черном рынке не превышает 15 долларов.

Но это только плата за доступ к профилю жертвы. То, что злоумышленники делают после, может принести гораздо больше прибыли; все зависит от конкретного пользователя.

Все ваши учетные данные принадлежат нам

Характерный зловред для кражи данных пользователей, который, по утверждению автора, в корне изменил индустрию кражи предметов в Steam. Его сайт сейчас недоступен и аккаунт в Твиттере заблокирован. Однако дело его живет, и это вредоносное ПО до сих пор свободно распространяется.

И хотя фишинговые атаки и адресный фишинг по-прежнему пользуются популярностью у особенно активных социальных инженеров в темных закоулках интернета, вредоносное ПО нового поколения, скромно названное «Steam Stealer», является главным подозреваемым в кражах множества пользовательских аккаунтов с флагманского сервиса компании Valve. Зловреды этого типа постепенно развились из исходного кода, опубликованного на российском форуме, и широко распространились, когда злоумышленники во всем мире поняли, какие прибыли они приносят. Зловреды, доступные для продажи в различных версиях, с различной функциональностью, бесплатными обновлениями, руководствами пользователя, советами по распространению и многим другим превратили ландшафт угроз в экосистеме развлечений в площадку для игр дьявола.

Все ваши учетные данные принадлежат нам

Почти идеально клонированный сайт игрового мессенджера Razer Comms, который вместе с TeamSpeak является у злоумышленников одной из самых популярных приманок

Одна из причин широкого распространения вредоносного ПО, нацеленного на геймеров, – его простота и доступность. Готовность продать зловреда для кражи данных любому, у кого есть деньги, означает, что огромное число скрипт-кидди и «чайников» выберет именно это вредоносное ПО для выхода на арену киберпреступлений.

Все ваши учетные данные принадлежат нам

Все в одном простом пакете, готовом к использованию и с подробной документацией. К каждому пакету Steam Stealer прилагаются различные функции стоимостью от 15 долларов

Добавить новые функции очень легко. Разработчику средней квалификации достаточно выбрать предпочтительный язык программирования и немного знать об архитектуре и протоколе клиента Steam. Существует множество API-интерфейсов и библиотек, которые без проблем взаимодействуют с платформой Steam и способны значительно облегчить работу. В своих незаконных кампаниях злоумышленники нередко используют легитимный инструментарий и библиотеки с открытым исходным кодом, а в данном случае возможности настолько заманчивы, что просто грех их упускать.

Все ваши учетные данные принадлежат нам

Начальная цена 200 рублей (3 доллара) даст вам права на использование модуля кражи учетных данных у пользователей платформы Steam. Заплатив 450 рублей (7 долларов), вы сможете получить также исходный код и руководство пользователя

Каждый шаг, от начального распространения вредоносного ПО до заражения и извлечения выгоды, описывается в различных руководствах, которые доступны онлайн (за дополнительную плату, конечно). В этой бизнес-модели все имеет свою цену, и каждый изо всех сил стремится сделать свое предложение как можно более привлекательным для потенциальных покупателей. «Вредоносное ПО как сервис» не является революционной практикой. Однако, когда речь идет о вредоносных кампаниях такого типа, цены обычно начинаются от 500 долларов (если взять в качестве ориентира рынки «зловред-вымогатель как сервис»).

Все ваши учетные данные принадлежат нам

Для «индустрии краж» характерная сильная ориентация на маркетинг

За вредоносное ПО Steam Stealer с начинающих киберпреступников обычно запрашивается смехотворно низкая цена. За дополнительную плату в пакет включат полный исходный код и руководство пользователя, что делает всю схему комичной и ужасной одновременно. Конечно, вышеуказанные цены представляют собой нижний предел ценового диапазона в данной «индустрии», но трудно найти зловред этого типа дороже 30 долларов. При такой конкуренции на этом узкоспециализированном рынке киберпреступнику-продавцу, чтобы заработать себе на хлеб, приходится прикладывать дополнительные усилия.

Прошлые и современные тенденции

Наблюдая, как Steam Stealer из «простых» вредоносных программ превратились в ПО, проникшее во все уголки интернета, можно предположить, что это действительно процветающий бизнес.

В прошлом не существовало обфускации, и иногда учетные данные FTP и SMTP пересылались как обычный текст. Постепенно зловреды и социальная инженерия совершенствовались: повышалось качество снимков экрана, улучшались «дубликаты» сайтов, становились более разнообразными способы передачи, а боты более точно имитировали поведение человека.

Краткий перечень прошлых тенденций:

  • Использование обфускаторов для затруднения анализа и обнаружения.
  • Использование расширений, по умолчанию скрытых в Windows (поддельные файлы экранных заставок).
  • Использование программы NetSupport (обеспечивающей злоумышленнику удаленный доступ).
  • Использование поддельных серверов TeamSpeak.
  • Использование автоматического обхода Captcha (с помощью сервиса DeathByCaptcha и др.).
  • Использование поддельных игровых серверов (главным образом, для игры Counter-Strike: Global Offensive).
  • Использование Pastebin для загрузки модуля Steam Stealer.
  • Использование поддельных сайтов, имитирующих Imgur, LightShot или SavePic.
  • Использование поддельных программ голосовой связи, имитирующихTeamSpeak, Razer Comms и др.
  • Использование сервисов сокращения URL, таких как bit.ly.
  • Использование хранилищ Dropbox, Google Docs, Copy.com и др. для хранения вредоносного ПО.

Современные тенденции:

  • Использование поддельных расширений Chrome или JavaScript, мошенничество через сайты азартных игр.
  • Использование поддельных игровых сайтов-рулеток и фальшивых депозит-ботов.
  • Использование оболочек AutoIT для затруднения анализа и обнаружения.
  • Использование RAT (троянцев удаленного доступа), таких как NanoCore или DarkComet.

Этот список может вырасти, ведь 2016 год только начинается.

Скачать полный текст исследования (PDF)

Индустрия кражи из Steam в цифрах

Статистические данные, приведенные в следующем разделе, охватывают промежуток времени между 1 января 2015 г. и 1 января 2016 г. и касаются наиболее распространенных семейств Steam Stealer. Однако, поскольку во многих случаях обнаружение выполнялось с помощью эвристик и различных общих вердиктов, однако получить точные цифры затруднительно, можно считать, что состояние дел в действительности намного хуже. Доля зараженных пользователей указана только для тех стран, в которых за указанный период было зафиксировано более 1 тысячи детектов.

Статистические данные о заражении троянцем Trojan-Downloader.MSIL.Steamilik

gamers_short_ru_7

Доля пользователей, атакованных троянцем Trojan-Downloader.MSIL.Steamilik

Троянцы-загрузчики могут загружать и устанавливать на компьютере пользователя новые вредоносные программы, в том числе других троянцев, и различную навязчивую рекламу. Такой двухэтапный процесс заражения позволяет злоумышленникам строить атаку по модульному принципу. Сначала они внедряют загрузчик с ограниченной функциональностью, который затем в подходящей среде может загрузить вредоносное ПО.

Статистические данные о заражении троянцем Trojan.MSIL.Steamilik

gamers_short_ru_9

Доля пользователей, атакованных троянцем Trojan.MSIL.Steamilik

Эта широкая категория троянцев включает в себя все вредоносные программы, выполняющие не санкционированные пользователем действия, такие как кража файлов, чтение реестра, взаимодействие с сервером злоумышленников. Следует отметить подкатегорию MSIL, содержащую .NET-сборки. Рост числа троянцев и более активное использование флагманской среды разработки Microsoft происходят параллельно, облегчая жизнь всем разработчикам (в том числе и отрицательным персонажам).

Статистические данные о заражении троянцем Trojan-PSW.MSIL.Steam

gamers_short_ru_11

Доля пользователей, атакованных троянцем Trojan-PSW.MSIL.Steam

Программы Trojan-PSW крадут с зараженных компьютеров данные пользовательских аккаунтов – имена пользователей и пароли. После запуска зловред (Password Stealing Ware, PSW) ищет определенные файлы, в которых хранятся конфиденциальные данные, или исследует реестр в поисках определенных ключей. Найдя такие данные, троянец отсылает их своему «хозяину». Для передачи украденных данных может использоваться электронная почта, FTP, HTTP (в том числе передача данных в запросе) и другие способы. Бразилия привлекла наше внимание тем, что она занимает второе место в этой категории вредоносного ПО после Российской Федерации. Латинская Америка, несомненно, является растущей экосистемой вредоносного ПО, и о геймерах здесь также не забыли.

gamers_short_ru_12

Использованный тип обфускации

Злоумышленники используют широкий спектр обфускаторов, чтобы защитить свою интеллектуальную собственность и затруднить обнаружение для защитных решений, прибегают к проектам с открытым исходным кодом, таким как «ConfuserEx» (преемник пресловутого проекта Confuser) и даже к имеющимся в широкой продаже обфускаторам для платформы .NET Framework, таким как SmartAssembly. Для получения аналогичных статистических данных в отношении обфускаторов использовалась группа из 1200 образцов, полученных различными способами. Все хэш-значения этой коллекции будут загружены в наш общедоступный репозиторий индикаторов заражения (IOC).

Ответные меры компании Valve

Компания Valve признала наличие проблемы, но, несмотря на совершенствование защитных мер, модули Steam Stealer продолжают свирепствовать, и многие пользователи в какой-то момент начнут задумываться, что же пошло не так. Некоторые из новых мер безопасности действуют в пределах всей сети, другие пользователь может легко сконфигурировать для своего аккаунта, чтобы защитить его от такого рода инцидентов и наслаждаться безопасной игрой:

  • Двухфакторная аутентификация по электронной почте или через мобильное приложение Steam Guard.
  • Блокирование URL в пределах Steam.
  • Цензура ников (Steam/Valve).
  • Использование Captcha в торговле (некоторое время) и затем ее обход.
  • Введение аккаунтов с ограниченным доступом.
  • Использование в Steam подтверждения по электронной почте для использования торговой площадки и торговли предметами.
  • Проверка адреса электронной почты.
  • Покупка за 5 долларов для борьбы с аккаунтами «free abuse» (распространение на аккаунты с ограниченным доступом).
  • Информация о том, с кем пользователь торгует (документирование).
  • Блокирование торговой площадки при попытке входа с новых устройств, изменении пароля профиля и т. п.
  • Подтверждение при торговле в Steam с мобильных устройств.
  • Восстановление аккаунта в Steam по номеру телефона.
  • Блокирование чата для тех, кто не имеет с пользователем общих друзей, игрового сервера или многопользовательского чата.
  • Более строгая блокировка мошеннических и спам-сайтов.
  • Удержание предмета в торговых сделках (15 дней).

В отношении превентивных мер, мы рекомендуем пользователям ознакомиться с обновлениями и новыми функциями безопасности Steam, а также, как минимум, включить двухфакторную аутентификацию Steam Guard. Помните, что распространение вредоносных программ происходит главным образом (но не только) через поддельные сайты или посредством социальной инженерии – через прямые сообщения жертве. Следите за своевременным обновлением своего защитного решения и никогда не отключайте его. Сейчас большинство продуктов имеют «игровой режим», который позволяет наслаждаться игрой без получения каких-либо уведомлений в процессе. Мы перечислили все опции, которые платформа Steam предлагает пользователям для защиты их аккаунтов. Помните, что киберпреступники гонятся за большими числами, и если заражение одной из потенциальных жертв требует слишком больших усилий, переключаются на следующую мишень. Следуйте этим простым рекомендациям, и вы не станете легкой добычей.

И если вы считаете текущую ситуацию с steam stealer плохой, только представьте, что будет, когда Gaben выпустит Half Life 3. Будьте бдительны! Двигайтесь вперед! И наслаждайтесь Steam!

Все ваши учетные данные принадлежат нам

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

  1. @1nk

    Ну уж в ру сегменте точно не всё уходит с стим стиллеров, большая часть злодеяний идёт с перечека публичных баз почт, которые в свою очередь попадают в базы с совершенно не относящихся к стиму стиллеров.
    Этому моменту внимания совсем не уделили 🙁

    Для простора даже можно свои почты сдать этим базам, а потом поанализировать статистики запросов.

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике