Исследование

Мошенничество в онлайн-играх. Игра как средство наживы

Все мы играем в игры: кто-то в спортивные, кто-то в азартные, а для кого-то и вся жизнь — игра. Давно перестали быть чем-то необычным и загадочным и компьютерные игры — в них увлеченно играют миллионы и миллионы: кто в тетрис, кто — в Counter-Strike, и все получают от этого удовольствие.

С развитием Интернета появился отдельный класс компьютерных игр — игр, в которые можно играть не только локально на своем компьютере или с партнером на одной клавиатуре, а с тысячами и десятками тысяч игроков со всей планеты. В мире MMORPG (massive multiplayer online role-playing game — «массовая многопользовательская онлайновая ролевая игра») или просто онлайн-игр можно найти свою судьбу, знакомиться с игроками, дружить, воевать, сражаться бок о бок с виртуальным всемирным злом и — играть, играть, играть…

Однако не все радужно в этом мире — виртуальное зло может оказаться вполне реальным и алчным: в онлайн-игры играют живые люди, среди которых находятся мошенники и воры, «зарабатывающие» настоящие деньги на похищении чужой виртуальной собственности.

В нашей статье мы рассмотрим, как осуществляется в MMORPG-играх воровство паролей, кража виртуальной собственности и иные злонамеренные действия.

Игра

Онлайн-игры построены на очень простом принципе взаимодействия игроков между собой и с компьютерными персонажами игры. Весь игровой процесс сводится к «блужданию» по очень красивым виртуальным мирам и выполнению каких-либо заданий, за которые игроки получают не очки, как в обычной компьютерной игре, а игровые деньги/ценности. Добытые «кровью и потом» виртуальные богатства можно тут же потратить на «покупку» других игровых ценностей, с их помощью начать выполнять еще более сложные задания, «заработать» еще больше «денег», опять бродить по мирам и так далее, и так далее — в онлайн-игре никогда не появится надпись «Game Over».


Сцена битвы в онлайн-игре «Lineage II»
(с сайта www.lineage2.com)

Онлайн-игры — это игры по правилам, устанавливаемым разработчиками и администраторами игровых серверов. Эти люди тратят свое время и деньги на создание/поддержку виртуальных миров, и эта работа приносит им реальный доход.


Центр поддержки компании Blizzard,
разработчика онлайн-игры «World of Warcraft»
Monica Almeida/The New York Times
(с сайта www.nytimes.com)

Онлайн-игру можно купить в магазине или скачать из Сети, но чтобы в нее играть, в большинстве случаев необходимо каждый месяц приобретать абонемент. Средства, вырученные за абонементы, идут на оплату трафика, поддержку игровых серверов, создание новых виртуальных локаций, добавление игровых вещей. В динамичном и быстро развивающемся мире онлайн-игр игроки могут «жить» годами.

Пираты

Мир онлайн-игр очень динамичен: каждый год появляются новые игры, растет армия игроков. И практически сразу после выхода лицензионной версии той или иной игры в Сети начинают появляться пиратские игровые серверы с «бесплатными» мирами, воспроизводящими миры игры лицензионной.


Начало продаж онлайн-игры «World of Warcraft» в Европе
(с сайта www.worldofwarcraft.com)

Количество пиратских серверов огромно. Например, на запрос «private game server», сделанный 22 июня 2007 года, Google выдал около 10 800 000 страниц, и это число постоянно растет. На одной популярной онлайн-игре могут паразитировать сотни тысяч нелегитимных серверов. Такое большое количество обусловлено их популярностью у игроков, желающих сэкономить деньги или этих денег вовсе не имеющих (подростков, студентов и др.). Идея кажется им заманчивой: зачем тратить деньги на абонемент для игры на официальном сервере, если можно играть в ту же игру на пиратском, оплачивая лишь свой интернет-трафик? На самом деле все обстоит несколько иначе…

Открытие пиратского сервера — поступок отнюдь не альтруистический. Такой сервер необходимо администрировать, поддерживать, тратить на него время и деньги (хотя бы на трафик). Зачем пиратам это надо? Ответ прост: дело в том, что администрация пиратского сервера начинает продавать виртуальные ценности за реальные деньги! И эти продажи приносят неплохой доход. Об этом можно судить хотя бы по тому, какое оборудование администрация берет в аренду для сервера.

Качество игры на пиратских серверах намного хуже, чем на официальном сервере, и это создает проблемы для игроков: ошибки, недочеты, периодическое прерывание соединения — все это существенно затормаживает и порой портит игровой процесс. При этом совершенно не важно, как играет пользователь — мастерски, хорошо, плохо… Рано или поздно он начинает понимать, что пребывание на одном уровне игры может продолжаться очень долго. Тут ему на помощь и приходит администратор с предложением купить виртуальные ценности за реальные деньги.

Игровые «ценности» могут продаваться администраторами не только пиратских серверов. В зависимости от игры и политики администрации такие продажи могут поощряться и на официальных серверах.

Кражи

Возникает закономерный вопрос: почему продавать виртуальные ценности может только администратор игрового сервера, их же могут продавать сами игроки другим игрокам? Могут, и продают. Но такие «товарно-денежные отношения» могут быть запрещены администрацией сервера, особенно пиратского, ибо в таком случае деньги проходят мимо ее рук. Впрочем, игроков запреты не останавливают — это их «бизнес»: посидел человек перед монитором, поиграл, заработал что-то в игре и продал за реальные деньги.

Игра в онлайн-мире — игра, за которую платят? Да, и бывает, даже очень хорошо платят. Есть сайты, где можно узнать цены на игровые «деньги» официальных игровых серверов. Разумеется, речь идет чаще всего о нелегальной купле-продаже: в большинстве упоминающихся на данных сайтах игр продажа виртуальных ценностей за реальные деньги не поощряется.

Любая ценность в онлайн-игре может иметь денежный эквивалент в реальном мире. Вот тут-то и появляются желающие поживиться, то есть чужую виртуальную собственность украсть. Но как? Оказывается, обладая определенными знаниями, сделать это можно довольно просто.

Системы авторизации (проверки на подлинность) игроков в большинстве онлайн-игр основаны на вводе пароля. Игрок при входе на сервер вводит имя пользователя и пароль. Однозначно идентифицируя пользователя, сервер разрешает вход и предоставляет игроку полную свободу действий в игре. Злоумышленник, заполучивший чужой пароль, может спокойно обокрасть свою жертву и выставить украденные «вещи» на продажу.

Похищенное добро выставляется на интернет-аукционах (к примеру, ebay.com), форумах, специализированных сайтах с целью продажи за виртуальные или реальные деньги другим игрокам. Вор может также потребовать у хозяина выкуп за краденое. Печально, но «виртуальные» кражи приносят злоумышленникам весьма ощутимый реальный доход.


Продажа игровых персонажей на ebay.com

Скупка краденого, конечно, преследуется по закону — то есть по правилам сервера, — и игроки официальных игровых серверов знают, что в случае какого-либо инцидента у них есть союзник в лице администрации. В любой момент игрок может написать «петицию» (запрос, жалобу и пр.), и все проблемы будут решены для того, чтобы он смог продолжить игру в кратчайшие сроки.

С пиратскими серверами, коих во много раз больше, чем легальных, все обстоит иначе: поскольку игроки за поддержку не платят, на разбирательство с инцидентами со стороны администрации сервера им рассчитывать не приходится. У жертвы практически нет шансов доказать свою непричастность к совершенному с его виртуальным имуществом злодеянию. Любые доказательства воровства пароля, как правило, игнорируются — под тем предлогом, что диалоги с другими игроками можно подделать, а картинки и скриншоты подрисовать в Photoshop’е.

Мошенники могут практически не опасаться за свои действия на пиратских серверах, так как никакие санкции против них в большинстве случаев не применяются. На официальных серверах дело обстоит куда лучше. Персонажам игроков, уличенных в воровстве, закрывают доступ к игре, а в некоторых случаях даже блокируются сетевые адреса «провинившихся».

В целом ситуация, связанная с воровством паролей к онлайн-играм, весьма серьезная. Игроки постоянно находятся под прицелом злоумышленников.


Нередкое на игровых форумах сообщение о краже пароля
(…и уместная реклама от Google)

Методы, используемые для кражи паролей к онлайн-играм

Практически все кражи связаны с конкретными серверами онлайн-игр. Как правило, мошенника интересуют только имя и пароль жертвы без адреса сервера, на котором эта жертва зарегистрирована. Следовательно, злоумышленник знает, на каком сервере играет его жертва и, скорее всего, является игроком этого же сервера. Такие воры промышляют как на пиратских, так и на официальных серверах, хотя угроза потери игровых ценностей для игроков пиратских серверов намного серьезнее и актуальнее.

Рассмотрим несколько методов, применяемых злоумышленниками для получения чужих паролей.

1. Использование социальной инженерии

Один из методов состоит в том, что в игре или на форуме игрового сервера игрокам открытым текстом предлагается отдать свои пароли стороннему лицу для получения какой-то помощи в игре либо каких-нибудь бонусов. Злоумышленник, делающий такое предложение, не так наивен, как кажется на первый взгляд. Скорее, наивными и доверчивыми оказываются игроки: многие из них ищут способы облегчить себе игру. В результате вор, воспользовавшись паролями, оставляет своих жертв ни с чем.

Еще одна разновидность социальной инженерии — рассылка фишинговых писем будто бы от имени администрации сервера, в которых под тем или иным предлогом игрокам предлагается «пройти аутентификацию» на указанной веб-странице.


Пример фишингового письма:
ссылка ведет на фишинговую страницу http://lineage***.ru
(с форума игры — forum.lineage2.su)


Новость от администрации сервера
о фишинговой аттаке на игроков
(с сайта eu.plaync.com)

Однако эти способы получения пароля, несмотря на свою простоту и эффективность, не могут принести большую прибыль злоумышленнику, так как на его удочку не попадутся продвинутые и, соответственно, «богатые» игроки.

2. Использование программных уязвимостей игрового сервера

Игровой сервер представляет собой набор системных служб, программ и баз данных для обслуживания игрового процесса. Как и в любом другом программном обеспечении, в коде сервера находятся ошибки и недочеты разработчиков — потенциальные уязвимости, посредством эксплуатации которых злоумышленник может получить доступ к базам данных сервера и выудить из нее пароли игроков или хэши (пароли в зашифрованном виде, для дешифрования которых используются специальные программные средства).

Известна, например, уязвимость, связанная с чатом игроков в игре. При отсутствии изолированности среды общения игроков от игровых баз данных и отсутствии проверок на спецсимволы/команды злоумышленник либо с помощью специальных программ, либо вручную может получить доступ к базе данных игроков прямо из игрового чата.


Игровой чат онлайн-игры «Linage II»
(с сайта www.lineage2.com)

Стоит также отметить, что количество и «качество» уязвимостей, при помощи которых похититель может получить доступ к внутренним базам данных сервера, зависит от статуса последнего. На пиратских серверах создание специальных «заплаток», закрывающих уязвимости, занимает намного больше времени, чем на официальных (если, конечно, администратор пиратского сервера вообще решит закрыть уязвимость).

Отдельным пунктом нужно выделить способ получения чужого пароля через систему восстановления забытого пароля. Злоумышленник с помощью специально сформированного запроса к системе (либо просто путем перебора ответов на вопросы, заданные пользователем для смены пароля) изменяет чужой пароль и заходит в игру уже под новым, известным только ему, паролем.

Использование программных уязвимостей сервера связано с техническими сложностями, а подготовка и проведение атаки требует значительных интеллектуальных усилий. Результат, как правило, стоит затраченных сил, но далеко не каждый хакер способен на это.

3. Использование вредоносных программ

В данном случае вор создает вредоносное программное обеспечение, которое распространяется всеми возможными способами:

  • на форуме игроков публикуются ссылки на вредоносную программу под видом ссылки на патч игры;
  • в самой игре проводятся спам-рассылки ссылок на вредоносную программу под видом «нового патча»;
  • по электронной почте рассылается спам с самой вредоносной программой либо со ссылками на ее исполняемый файл;
  • вредоносные программы распространяются через файлообменные сети;
  • используются уязвимости веб-браузеров — для загрузки вредоносных программ при посещении игровых сайтов.
    Но чаще всего злоумышленники публикуют на игровом форуме или в игре ссылки на вредоносную программу с комментариями о том, какой/-ое/-ая это классный/-ое/-ая патч/исправление/тулза и как он/оно/она облегчает жизнь игроков…


Новость пиратского сервера

Существуют как «узкоспециализированные» вредоносные программы, атакующие исключительно онлайн-игроков, так и зловреды, в задачу которых входит кража любых паролей (к играм в том числе). Наиболее распространенные вредоносные программы, используемые для кражи паролей к онлайн-играм, согласно классификации «Лаборатории Касперского» относятся к поведениям Trojan-PSW, Trojan-Spy и к семейству Trojan.Win32.Qhost.

Первый тип троянцев часто использует классические приемы перехвата ввода с клавиатуры жертвы: если игрок вводит пароль, адрес игрового сервера и прочие сведения с клавиатуры зараженного компьютера, эта информация становится доступна злоумышленнику.

Второй тип троянцев базируется на изменении файла «%WinDir%system32driversetchosts», который содержит информацию о статическом соответствии сетевого адреса имени сервера. При внесении в данный файл ложного адреса игрового сервера игровой клиент будет проходить авторизацию не на настоящем сервере, а на сервере злоумышленника, в результате чего пароль будет передан последнему напрямую.

Стоит упомянуть также о некоторых представителях семейства Trojan-Spy.Win32.Delf, устанавливающих в настройках браузера Internet Explorer некий подставной прокси-сервер для подключения к серверу онлайн-игры (в этом случае, аналогично изменению файла «hosts», все данные, связанные со входом пользователя в игру, передаются злоумышленнику). Для некоторых онлайн-игр, где игрокам не нужно вводить пароль (что сделано разработчиками как раз для защиты пользователей от кейлоггеров), вору передаются не пароли в символьной форме, а скриншоты экрана с запущенной игрой.

Некоторые представители Trojan-PSW перехватывают данные, вводимые в веб-формы на определенных сайтах. Такие вирусы также используются для получения пароля к онлайн-игре пользователя. Дело в том, что на многих игровых серверах можно получить доступ к статистике или какой-либо другой информации, связанной с игрой, через веб-интерфейс сервера; для этого игроку необходимо указать свои имя и пароль. В момент передачи этих данных и происходит их перехват.

Украденные пароли могут передаваться злоумышленнику через электронную почту, по IM-каналам (Instant Messaging — системы мгновенного обмена сообщениями), посредством выкладывания на его ftp-сервер или же путем открытия сетевого доступа к папке, содержащей файл с паролем — через web, ftp или shared folder.


Нередкое на игровых форумах сообщение о краже паролей
при помощи вредоносных программ

В силу своей простоты (похитителю не требуются особые технические навыки) и высокой прибыльности использование вредоносных программ для кражи паролей к онлайн-играм получило наибольшее распространение.

Развитие вредоносных программ для кражи паролей к онлайн-играм

Первые вредоносные программы для онлайн-игр были простейшими, но сегодня, когда программистская мысль достигла своих высот, они стали весьма сложны и изощренны. Их эволюция происходила в трех направлениях: первое — развитие и модернизация функции непосредственной кражи пароля и доставки его злоумышленнику (Trojan-PSW); второе — совершенствование средств распространения вредоносной программы (worm, virus); третье — самозащита вирусов от антивирусов (rootkit, killav, packers).

Троянские программы

Первые случаи воровства пользовательских паролей к онлайн-играм с помощью вредоносных программ были зафиксированы в 1997 году, когда в антивирусные компании стали приходить письма от игроков Ultima Online, содержащие вредоносное ПО для анализа. Вначале это были в основном классические кейлоггеры, то есть троянские программы, не имеющие прямого отношения к онлайн-играм и осуществляющие сбор всей информации, вводимой пользователем с клавиатуры.

Первой вредоносной программой, ориентированной именно на воровство паролей к онлайн-играм, стал троянец Trojan-PSW.Win32.Lmir.a. Появившийся в конце 2002 года, он представлял собой простенькую программку, написанную на языке Delphi, по таймеру искавшую окно с заголовком «legend of mir2», а затем отсылавшую всю вводимую в данное окно информацию на электронный адрес злоумышленника. Эта вредоносная программа была китайского происхождения, не претендовала на оригинальность и не обещала повсеместного распространения. Однако вскоре простенький и неприметный троянец стал «классикой жанра» кражи паролей к онлайн-играм. Видимо, исходные коды этого вируса когда-то попали в Сеть, и его начали модифицировать под другие онлайн-игры, что оказалось делом несложным. Так, при замене заголовка в строке поиска окна атакуемой игры (например, на «MapleStory»), троянец воровал пароль от другой игры. Такие нехитрые ходы вскоре вызвали лавинообразный рост популяции зловредов для онлайн-игр.

Массовому распространению и большому числу модификаций Trojan-PSW.Win32.Lmir способствовали несколько факторов:

  1. Популярность онлайн-игры «Legend of Mir», на игроков которой ориентирован Trojan-PSW.Win32.Lmir.
  2. Наличие большого количества серверов данной игры.
  3. Возможность распространения троянца через ошибки в браузере: злоумышленники взламывали веб-сайт сервера игры и размещали на нем скрипт, осуществлявший загрузку вируса на компьютеры игроков и его запуск.
  4. Появление более 30 конструкторов Trojan-PSW.Win32.Lmir (Constructor.Win32.Lmir — специальное ПО для создания и настройки троянов, ворующих пароли к «Legend of Mir 2»).

После очевидных успехов Lmir злоумышленники стали переделывать вредоносную программу, выбирая в качестве мишеней другие популярные онлайн-игры. Такие «последователи» Lmir, как Trojan-PSW.Win32.Nilage («нацелены» на «Lineage II») и Trojan-PSW.Win32.WOW (атакуют игроков «World of Warcraft»), появившиеся в 2004 и 2005 годах соответственно, до сих пор являются самыми востребованными среди злоумышленников, поскольку популярность атакуемых ими игр продолжает расти. Отметим также, что большинство подобных троянцев ориентированы на воровство имен и паролей к серверам онлайн-игр, находящихся на домене «.tw», в то время как передача похищенной информации осуществляется на почту или ftp-сервера в домене «.cn».

Большинство троянских программ ориентированы на конкретные онлайн-игры. Однако в 2006 году появился Trojan-PSW.Win32.OnLineGames.a, который стал воровать пароли практически ко всем популярным онлайн-играм (разумеется, уже с адресами серверов, на которых зарегистрирована жертва), причем список интересующих его игр постоянно растет.


Часть вредоносной программы Trojan-PSW.Win32.OnLineGames.fs
(ворующей пароль, в частности, к онлайн-игре «MapleStory»)

Современный троянец, занимающийся кражей паролей к онлайн-игре, представляет собой динамическую библиотеку (DLL-файл), написанную на Delphi, которая автоматически присоединяется ко всем приложениям, запущенным в системе. При обнаружении запуска онлайн-игры такая вредоносная программа осуществляет перехват ввода с клавиатуры пароля, после чего отправляет пароль на почту злоумышленника и самоудаляется. Использование динамической библиотеки позволяет легко установить троянца на машину пользователя (с помощью дропперов (загрузчиков), червей и др.), а также скрыть от него наличие зловреда в системе.

Черви и вирусы

Благодаря массовости и популярности онлайн-игр отыскать игроков среди общей массы пользователей Интернета не составляет особого труда, поэтому еще одним направлением развития вредоносных программ для кражи игровых паролей стало их самораспространение и, как следствие, ориентирование на как можно большее число игроков самых разных игр и серверов.

Первым саморазмножающимся червем, ворующим пароли к онлайн-играм, стал Email-Worm.Win32.Lewor.a. Он рассылал себя по адресам из адресной книги Outlook Express. Найдя на зараженном компьютере логин, пароль и адрес сервера все той же «Legend of Mir», вирус сохранял эти сведения ftp-сервере злоумышленника. Первая спам-рассылка Email-Worm.Win32.Lewor.a была зафиксирована в начале июня 2004 года.

Позже авторы вредоносных программ, занимающихся кражей паролей к онлайн-играм, начали добавлять в свои творения функцию самокопирования на съемные диски с добавлением файла «autorun.inf», обеспечивающего автозапуск зловреда при подключении зараженного диска к компьютеру (заражение происходило только в том случае, если на компьютере был разрешен подобный автозапуск). Когда к инфицированной машине подключали, например, флэш-накопитель, вирус самокопировался туда, а при подключении зараженного носителя к другому компьютеру автоматически запускался на нем и начинал инфицировать подключаемые уже к нему съемные устройства. Жертвами подобных атак становились, в частности, клиенты центров фотопечати, приносившие туда материалы на флэш-накопителях.

Вскоре начали появляться отдельные экземпляры вирусов-похитителей, обладающие функциями заражения исполняемых файлов и самокопирования на сетевые ресурсы. Это обеспечивало злоумышленникам дополнительную возможность распространения их детищ на компьютеры пользователей и добавляло задач антивирусным компаниям. Плюс ко всему, самокопирование в папки, к которым открыт общий доступ, или через файлообменные сети (p2p), или через сеть Microsoft Networks (shared folder) способно существенно увеличить количество потенциальных жертв.

Весь спектр описанных вредоносных программ именовался в классификации «Лаборатории Касперского» как Worm.Win32.Viking. Дальнейшее развитие идеи массового распространения вредоносного ПО для онлайн-игр воплотилось в прямом «потомке» Viking — черве Worm.Win32.Fujack.

Последним достижением писателей зловредов для онлайн-игр на сегодняшний день являются полиморфный вирус Virus.Win32.Alman.a и его наследник Virus.Win32.Hala.a. Помимо заражения исполняемых файлов данные вредоносные программы несут в себе функции червя (распространение по сетевым ресурсам), руткита (механизмы сокрытия в системе) и бэкдора. Зараженный компьютер подключается к определенному серверу Сети, получая с него команды от злоумышленника — в том числе на загрузку и выполнение программ, классифицируемых «Лабораторией Касперского» как Trojan-PSW.Win32.OnLineGames.

Вирусы Alman.a и Hala.a содержат списки исполняемых файлов, которые не должны быть заражены. Помимо файлов иных зловредов вирусописатели включили в эти списки и файлы клиентов онлайн-игр. Зачем?

Учитывая, что защитные механизмы самой игры и/или антивирусные продукты могут блокировать запуск измененных исполняемых файлов, злоумышленники позаботились о том, чтобы игроки могли беспрепятственно запускать игру на зараженных машинах, а загруженный Trojan-PSW.Win32.OnLineGames — перехватывать пароли и отправлять их своему создателю.


Фрагмент файла, зараженного вирусом Virus.Win32.Alman.a

Определим временные рамки появления зловредов для онлайн-игр:

Год, месяц Троянцы Черви Вирусы
1997 г. Обычные keyloggers    
2002 г., декабрь Trojan-PSW.Win32.Lmir.a    
2004 г., июнь   Email-Worm.Win32.Lewor.a  
2004 г., октябрь Trojan-PSW.Win32.Nilage.a    
2005 г., февраль   Worm.Win32.Viking.a  
2005 г., декабрь Trojan-PSW.Win32.WOW.a    
2006 г., август Trojan-PSW.Win32.OnLineGames.a    
2006 г., декабрь   Worm.Win32.Fujack.a  
2007 г., апрель     Virus.Win32.Alman.a
2007 г., июнь     Virus.Win32.Hala.a

Технологии самозащиты вредоносных программ для онлайн-игр

Постоянная борьба с антивирусами заставляет вирусописателей заботиться о самозащите своих творений от антивирусного ПО.

Первым шагом на пути самозащиты вирусов для онлайн-игр стало использование навесных упаковщиков для сокрытия кода от сигнатурного поиска. Использование подобных упаковщиков защищает код вредоносной программы от дизассемблирования и затрудняет ее анализ.

Следующим этапом развития самозащиты стало использование killav-технологий. Эти технологии позволяют вредоносному ПО либо вообще отключить защиту зараженного компьютера, либо сделать работу вредоносного ПО невидимым для антивируса.

Последним достижением в области самозащиты зловредов для онлайн-игр стало применение rootkit-технологий, которые позволяют скрыть работу вредоносного ПО не только от антивирусов, но и от всех процессов в системе.

Современные вредоносные программы для онлайн-игр, как правило, используют сочетание всех трех технологий самозащиты.

Отметим, что вредоносные программы типа Trojan-PSW.Win32.Nilage (ворующие пароли к игре «Lineage II») и Trojan-PSW.Win32.WOW («нацеленные» на игроков «World of Warcraft») пошли двумя разными путями развития. Первые скрываются в системе от антивирусных сканеров, используя для своей защиты в основном навесные упаковщики, затрудняющие обнаружение при сигнатурном поиске. Вторые же предпочли прямое противодействие антивирусным продуктам, а именно выключение защиты зараженного ПК. Это неудивительно, учитывая, что «Lineage II» имеет большую популярность в Азии, а «World of Warcraft» — в Америке и Европе.

Схема современной атаки

Развитие зловредов, занимающихся кражей паролей к онлайн-играм, заметно отстает от развития всех остальных вредоносных программ. Это объясняется в первую очередь относительно недавним появлением самих онлайн-игр. Довольно долго вредоносные программы для них были очень просты и писались только на Delphi, и антивирусным сканерам не составляло труда детектировать и удалять их. Но за последние два года, стремясь пробить защиту антивирусов, вредоносные программы для онлайн-игр сделали огромный скачок в своем развитии — их авторы перешли к другой стратегии. Современные атаки на компьютеры игроков организуются следующим образом. Создается червь, который несет в себе множество функций: самораспространения (функционал email-worm, p2p-worm, net-worm), заражения исполняемых файлов (virus-функционал), сокрытия себя в системе (rootkit-функционал), и, собственно, программу для кражи пароля (функционал trojan-psw).


Схема модулей вредоносной программы,
предназначенной для атаки на онлайн-игроков

Затем устраивается спам-рассылка этого червя. Одно неосторожное действие пользователя — и все исполняемые файлы на компьютере заражены, по всем адресам из адресной книги разосланы копии червя, вредоносный код присутствует на всех сетевых ресурсах, к которым ему удалось получить доступ. Но жертва ничего не знает об этом, так как использующиеся в черве руткит-технологии скрывают его присутствие в системе.

Примечательно, что практически при всех подобных атаках собранный «урожай» паролей также отправляется на электронные почтовые адреса или ftp-серверы, расположенные в домене «.cn».

«География» проблемы

Когда речь идет о краже паролей к онлайн-играм, «азиатский след» неизбежен, поскольку по статистике самая большая армия онлайн-игроков обитает именно в азиатском регионе. Проблема воровства паролей к онлайн-играм в первую очередь касается Китая и Южной Кореи. Не беремся судить о причинах, но более 90% всех троянских программ для онлайн-игр фактически пишутся в Китае, а 90% паролей, которые воруют эти троянцы, принадлежат игрокам южнокорейских сайтов.

В других странах какие-либо новые троянцы для онлайн-игр возникают крайне редко, и количество их модификаций редко превышает 2-3 экземпляра.

В России компьютеризация и быстрый рост IT-отрасли не могли не способствовать развитию компьютерных развлечений. Характерной чертой российской игровой индустрии стала популярность BBMMORPG (browser based massive multiplayer online role-playing game) — браузерных массовых многопользовательских онлайн-игр. Спецификой данных игр, самой популярной из которых в 2002 году стал «Бойцовский клуб» (www.combats.ru), является отсутствие отдельного клиента для игры — все действия производятся непосредственно через браузер.


Скриншот экрана с загруженной игрой «Бойцовский клуб»
(с сайта www.mjournal.ru)

Обилие таких игр и огромное количество людей, в них играющих, не могли не привлечь российских злоумышленников. Особенностью российских атак стало преимущественное использование фишинга для распространения вредоносного ПО. В Сети начали появляться многочисленные сайты-клоны «БК» и многих других игр, ссылки на которые распространялись в фишинговых письмах.

Так, в ходе одной из атак в разосланных якобы от имени администрации сайта письмах сообщалось о смене адреса сервера игры. Когда игроки пытались войти в игру по новому адресу, появлялось сообщение об ошибке. При этом введенные игроками пароли оказывались у злоумышленников, а робот автоматически изменял исходные пароли на оригинальном сайте игры. В результате пользователь не мог войти в игру под старым паролем, а воры получали полную свободу действий в игре и могли распоряжаться чужим виртуальным имуществом.

Использовавшиеся вирусы были причислены «Лабораторией Касперского» к семействам Trojan-Spy.HTML.Fraud и Trojan-Spy.HTML.Combats. Но на этом разработка зловредов для онлайн-игр отечественными злоумышленниками и остановилась. Попадаются, конечно, отдельные экземпляры новых вредоносных программ, но о крупномасштабной атаке на игроков онлайн-игр в России говорить не приходится. Все ограничивается либо обычными кейлоггерами, не имеющими отношения к онлайн-играм, либо тем же фишингом.

Немного статистики

Из года в год число новых вредоносных программ для онлайн-игр и модификаций уже известных зловредов растет. Сегодня в «Лабораторию Касперского» ежедневно присылают более 40 вредоносных программ, ворующих пароли к популярным онлайн-играм. Причем количество и «качество» вирусов постоянно растет, что вызвано соответствующей реакцией на них антивирусных компаний и ростом популярности онлайн-игр. Большая часть таких программ узко специализирована под конкретные сервера онлайн-игр.


Общее количество вредоносных программ,
ворующих пароли от онлайн-игр, в разные годы

Если в 2002 году практически 99% присылаемых зловредов, относящихся к онлайн-играм, были классифицированы как Trojan-PSW.Win32.Lmir, то с появлением новых игр и ростом их популярности доля вредоносных программ, атакующих игроков «Legend of Mir», заметно упала. Сегодня самыми популярными мишенями разработчиков троянских программ для онлайн-игр являются игры «Lineage II» (более 40% всего потока троянцев для онлайн-игр), «World of Warcraft» (около 20%), «Gamania», «Tibia», «Legend of Mir» (около 6% для каждой). Это косвенно отображает популярность самих онлайн-игр, на пароли от которых «заточены» зловреды.

Приведем статистику появления в 2006 году новых зловредов для наиболее популярных у злоумышленников онлайн-игр «Lineage II» и «World of Warcraft».


Количество вредоносных программ, ворующих пароли
от онлайн-игр «Lineage II» и «World of Warcraft», за 2006 год

Миры этих онлайн-игр были открыты в 2004 году. По мере роста популярности этих игр среди игроков росла их популярность и у злоумышленников. В 2006 году число ежемесячно выпускаемых троянцев для «Lineage II» и «World of Warcraft» росло лавинообразно и в целом за год составило более 70% от входящего потока зловредов для онлайн-игр в целом.

Заключение

Число онлайн-игр постоянно растет, и армия игроков все время пополняется новыми волонтерами. При этом практически для всех MMORPG-игр существуют программы, ворующие пароли к ним (а если для какой-то игры их еще нет, это значит, что игроки пока просто не готовы платить материальным за виртуальное).

Огромный рост популяции зловредов для онлайн-игр объясняется не только тем, что торговля игровыми ценностями представляет собой выгодный бизнес, но и отсутствием реальной угрозы наказания за кражу паролей к онлайн-играм. В подавляющем большинстве лицензионных соглашений декларируется, что все компоненты игры принадлежат разработчикам. Игрок лишь пользуется предоставленными ему услугами, в том числе паролем к игре. Соответственно, жаловаться на кражу он может только администратору, а не в правоохранительные органы.

С юридической точки зрения, в случае кражи виртуальной собственности игрока состав преступления отсутствует, и привлекать злоумышленников к ответственности можно только за распространение вредоносных программ или за мошенничество.

Игроки онлайн-игр постоянно находятся под прицелом у злоумышленников.

Разработчики игр пытаются оградить пользователей от злоумышленников, вводя новые механизмы авторизации/аутентификации пользователей, криптографические протоколы, всевозможные патчи игровых клиентов — вплоть до изменения системы ценностей в игровом процессе.

Антивирусные компании тоже пытаются оградить своих клиентов от кражи паролей к онлайн-играм, оперативно предоставляя базы уже известных вредоносных программ, добавляя в антивирусы новые эвристики и поведенческие признаки программ, осуществляющих неправомерный доступ к игровым клиентам.


Линия фронта в войне с трояно/вирусописателями,
атакующими игроков онлайн-игр

Еще одна эффективная возможность защиты игроков онлайн-игр — активное сотрудничество разработчиков игр с антивирусными компаниями. Так, в 2004 году «Лабораторией Касперского» было заключено соглашение с разработчиками онлайн-игры «Бойцовский клуб», согласно которому любой подозрительный код, обнаруженный администраторами или пользователями игры, отправляется на анализ в вирусную лабораторию с целью его скорейшего анализа и своевременной защиты виртуальной собственности игроков. И это соглашение принесло свои плоды: была предотвращена попытка кражи паролей тысяч пользователей. Если бы злоумышленникам удалось успешно провести свои атаки, то суммы в реальных долларах США, «заработанные» ими на продаже виртуальных ценностей, имели бы не менее четырех нулей.

Какие рекомендации можно дать самим игрокам для предотвращения кражи? Как обычно — элементарные меры предосторожности, простое благоразумие, голова на плечах и, конечно же, лучший антивирус.

Мошенничество в онлайн-играх. Игра как средство наживы

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике