© «Доктор Веб»
2003 — 2024
Статистика показывает, что многие современные пользователи недооценивают угрозы со стороны вредоносных программ и киберзлоумышленников.
- Только 15% пользователей понимают, что могут стать целью киберпреступников.
- Каждый третий считает маловероятными финансовые потери в результате атак злоумышленников.
- Абсолютное большинство полагает, что их данные никому не интересны!
Совершенно особый сегмент пользователей, на которых, в том числе, нацелены атаки вирусописателей, представляют собой любители компьютерных игр, традиционно пренебрегающие антивирусной защитой ради быстродействия ПК. И эти игроки бывают разными — как по уровню компетенции, так и по наличию у них «богатств», которые можно похитить и продать.
Кто в мире виртуальных игр подвержен атакам киберзлоумышленников?
Условно, игроков можно разделить на три группы:
- Супер-фанаты и профессионалы. Они имеют в своем «сундуке» достаточное число артефактов.
- Просто геймеры (гейм-среда для них является способом расслабления, концентрации на отвлечении от работы или проблем). Их машины и аккаунты пригодятся злоумышленникам для продвинутых атак и вымогательства.
- Дети и подростки, которые могут быть как фанатами, так и просто геймерами, и совсем малыши. В этом случае жертвами кибератак становятся родители, а точнее – их кошельки. Именно юным пользователям предлагаются ворованные артефакты «за бесплатно».
Внимание!
В силу подросткового максимализма дети стремятся игнорировать рекомендации по безопасности с одной стороны и хотят попробовать запретное - с другой. Поэтому использование Родительского контроля Dr.Web для предотвращения заражения и похищения информации и игрового имущества для них обязательно!
Тем временем, накопленный вирусными аналитиками «Доктор Веб» опыт говорит о том, что вирусные угрозы для игроков вовсе не являются «игрушечными»!
Вирусы произошли от… игр!
Невероятно, но факт: одной из первых вредоносных программ — причем не вирусом, а троянцем! — была компьютерная игра Pervading Animal: с помощью наводящих вопросов программа пыталась определить имя животного, задуманного пользователем. Она была написана с ошибкой – при добавлении новых вопросов модифицированная игра записывалась поверх старой версии и копировалась в другие директории (саморазмножалась), в результате чего через некоторое время диск переполнялся. Pervading Animal распространялась с помощью своих жертв и выполняла неизвестные пользователю действия - это говорит о том, что она была классическим троянцем.
Что крадут у игроков?
Злоумышленники направляют свое внимание туда, где можно и есть чем поживиться. Их целями становятся аккаунты и артефакты игроков — все то, что интересует геймеров и что при этом можно у геймеров украсть и продать.
Что интересует игроков?
- Возможность быстрой «прокачки» - или покупки уже «прокачанных» аккаунтов.
- Персонажи с максимальным количеством различных «навыков» и баллов опыта, с игровой амуницией, доспехами, ездовыми животными (иногда довольно редкими), с набором умений и профессий, доступными для данного героя, иные игровые артефакты и возможности. Чем их больше, тем выше стоимость аккаунта, которая в некоторых случаях может превышать 20 000 рублей.
- Покупка, продажа и обмен игровых предметов, порой — за реальные деньги.
Целями злоумышленников являются аккаунты и артефакты игроков — все из мира игр, что можно украсть и реализовать за деньги.
Учитывая стоимость прокачанных аккаунтов и дорогих артефактов, без преувеличения можно сказать, что игроки и их имущество – лакомая цель для злоумышленников.
Каким образом вредоносные программы помогают злоумышленникам похищать аккаунты и артефакты?
Пример вредоносной программы для кражи артефактов
Trojan.SteamLogger.1 предназначен для похищения ценных артефактов у пользователей игр Dota 2, Counter-Strike: Global Offensive и Team Fortress 2. Троянец обнаружен специалистами антивирусной лаборатории «Доктор Веб» в октябре 2014 года.
После того, как основной модуль троянца Trojan.SteamLogger.1 запускается и инициализируется, он ищет в памяти зараженного компьютера процесс с именем Steam и проверяет, вошел ли пользователь в свою учетную запись. Если нет, вредоносная программа ожидает момента авторизации игрока, затем извлекает информацию об аккаунте пользователя Steam (наличие SteamGuard, steam-id, security token) и передает эти данные злоумышленникам. В ответ Trojan.SteamLogger.1 получает список учетных записей, на которые могут быть переданы игровые предметы с аккаунта жертвы. Вредоносная программа пытается похитить наиболее ценные игровые предметы, ключи от сундуков и сами сундуки. Trojan.SteamLogger.1 внимательно следит за тем, не пытается ли игрок продать что-либо из виртуальных предметов самостоятельно, и в случае обнаружения такой попытки старается воспрепятствовать этому, автоматически снимая артефакты с продажи.
Всю собранную информацию троянец отправляет на сервер злоумышленников, затем проверяет, включена ли в настройках Steam автоматическая авторизация, и, если она отключена, в отдельном потоке запускает кейлоггер (перехватчик нажатий кнопок клавиатуры) — собранные с его помощью данные пересылаются на сервер киберпреступников с интервалом в 15 секунд.
Trojan.SteamLogger.1 распространяется на специализированных форумах или в чате Steam под видом предложения о продаже или обмене игровых предметов.
Как злоумышленники извлекают выгоду из «угнанных» аккаунтов?
- Продажа аккаунта: в самом примитивном случае злоумышленники пытаются просто продать краденый аккаунт с использованием специально созданного ими для этих целей интернет-магазина.
- Увод (присвоение) артефактов и их продажа: мошенники могут перенести все привязанные к аккаунту артефакты на другую учетную запись (с целью последующей реализации, конечно).
- Мошеннические займы: новые владельцы украденного аккаунта, воспользовавшись доверием товарищей по игровой гильдии, могут назанимать виртуальных денег или ограбить гильдейский банк. В итоге — навеки испорченная репутация, запрет доступа на игровой сервер и даже психологическая травма (причем в случае с уязвимой психической организацией ребенка это может привести к очень серьезным последствиям).
- Распространение фишинговых ссылок: злоумышленники производят их от имени владельца аккаунта — например, публикуя информацию об «акции от разработчика игры», требующей зарегистрироваться на стороннем сайте со своим логином и паролем, или рекламируя программы для накрутки игровых характеристик персонажа, под видом которых распространяются вирусы и троянцы. И это тоже потеря репутации!
- Вымогательство: имущество игрока представляет для него ценность, и этим пользуются злоумышленники, блокирующие доступ к аккаунту и требующие выкуп.
Как злоумышленники инфицируют компьютеры игроков?
Один из способов атаки на игроков — распространение троянцев с целью инфицирования.
Злоумышленники с помощью системы личных сообщений могут рассылать от имени владельца украденного аккаунта ссылки на фишинговые (мошеннические) сайты. Это может быть, например, информация об «акции от разработчика игры», для участия в которой требуется зарегистрироваться на стороннем сайте со своим логином и паролем, или реклама программ для накрутки игровых характеристик персонажа, под видом которых распространяются вирусы и троянцы. Доверчивые и еще не имеющие опыта распознавания мошенников дети и подростки легко «ведутся» на такие уловки.
Если одна из их целей — Steam-кошельки для покупки игр, для получения доступа к кошельку также используют фишинг. Пользователям сервиса Twitch, например, рассылаются предложения поучаствовать в лотерее. Жертвам предлагается выиграть цифровое оружие и коллекционные предметы для шутера CounterStrike: Global Offensive. Как только вредоносный софт получает доступ к Steam-аккаунту, установившийся на геймерский компьютер втайне от его владельца троянец делает скриншоты, добавляет новых друзей, покупает предметы за Steam-средства, самостоятельно (!!) отправляет и принимает предложения по продаже. После кражи инвентаря он выставляется на Steam Community Market со значительной скидкой - до 35%.
Злоумышленники пользуются тем, что постоянные посетители сервисов, подобных Twitch, привыкли к аналогичным сообщениям. Также Twitch стал одной из наиболее популярных стриминговых платформ для геймеров, позволяя любителям онлайн-трансляций зарабатывать во время «стримов». Многие стримеры смогли получить поклонников законным путем, но некоторые любители легкой наживы решили прибегнуть к услугам ботнетов (сетей зараженных компьютеров) для «накрутки» числа подписчиков. Есть и такой вид теневого бизнеса в мире игр.
Пример вредоносной программы, направленной на атаку платформы Steam
В конце августа 2014 года на различных игровых форумах начали появляться сообщения пользователей платформы Steam о том, что у них стали неожиданно пропадать ценные игровые предметы и ресурсы. Виновником «виртуальных краж» оказался троянец Trojan.SteamBurglar.1. Вредоносная программа рассылалась злоумышленниками через сообщения в чате Steam и на специализированных форумах. Игрокам предлагалось посмотреть скриншоты виртуального оружия или иных ресурсов, представленных якобы для продажи или обмена. Эти предложения Trojan.SteamBurglar.1 демонстрировал пользователю зараженного компьютера. В то же время сам троянец отыскивал в памяти процесс steam.exe, извлекал из него информацию об игровых предметах, выявлял среди них наиболее ценные, после чего осуществлял их кражу с целью последующей продажи. Украденные артефакты пересылались на одну из принадлежащих злоумышленникам учетных записей:
Внимание!
Возможность создания игровых серверов самими игроками позволяет злоумышленникам создавать поддельные серверы и распространять через них вредоносные программы!
Не так давно у вирусных аналитиков «Доктор Веб» появилась информация о том, что злоумышленники создают вредоносные копии страниц игр в каталоге Steam. Страницы-клоны полностью копируют дизайн аутентичных игровых страниц. Выбрав поддельную игру, пользователь перенаправлялся на страницу загрузки в тайне от пользователя вредоносного ПО.
Дальнейшее развитие сценария атаки зависит от функционала, заложенного вирусописателями в код троянца. Вредоносная программа может оказаться в том числе и самым опасным на сегодняшний день троянцем-шифровальщиком.
Опасность: шифровальщики!
Кроме злоумышленников, создающих специальные вредоносные программы, нацеленные на конкретные игры, свой куш желают получить и другие представители «темной стороны» виртуального мира. Настоящей проблемой безопасности на данный момент являются троянцы-энкодеры – программы, шифрующие данные пользователя и требующие выкуп за их расшифровку. Подобный троянец может проникнуть в систему через спам, в виде ссылки в сообщении мессенджера, может быть скачан с сайта или принесен на зараженной флешке на игровой компьютер. Само заражение происходит незаметно в фоновом режиме и не определяется до момента, пока файлы на компьютере не будут зашифрованы и на экране не появится сообщение с требованием выкупа.
Подробнее о шифровальщиках можно прочитать здесь.
По имеющимся у вирусных аналитиков «Доктор Веб» сведениям, энкодеры обладают функционалом, который позволяет шифровать файлы с расширениями, характерными для таких популярных игр, как Call of Duty, Minecraft, StarCraft 2, Skyrim, World of Warcraft, League of Legends, World of Tanks.
Напоминаем, что в компании «Доктор Веб» расшифровка бесплатна только для владельцев коммерческих лицензий Dr.Web. В случае беды следует обращаться за помощью в нашу службу технической поддержки.
Популярные игры «на службе» вирусописателей
Злоумышленники уже используют возможности самих игр для распространения вредоносных программ.
Обычно при соединении с сервером Counter-Strike программа-клиент скачивает с удаленного узла компоненты, отсутствующие на клиентской машине, но используемые в игре.
В ходе проведенного в 2001 году аналитиками компании «Доктор Веб» расследования удалось установить следующее. Изначально группой злоумышленников был создан игровой сервер Counter-Strike, распространявший троянскую программу Win32.HLLW.HLProxy (до этого момента этот троянец вообще распространялся среди поклонников Counter-Strike в качестве «полезного» приложения, поэтому многие игроки самостоятельно скачали и установили его на свой ПК).
Технология «раздачи» троянца весьма интересна: при любом подключении к игровому серверу игроку демонстрируется специальное окно приветствия MOTD, в котором может присутствовать реклама сервера или какие-либо установленные его администрацией правила. Содержимое этого окна представляет собой HTML-файл. Созданный злоумышленниками файл MOTD содержит скрытый компонент IFRAME, с помощью которого выполнялось перенаправление на один из принадлежащих им серверов. С него, в свою очередь, загружался и устанавливался на компьютер жертвы Win32.HLLW.HLProxy.
Основное назначение троянца заключается в том, что он запускает на компьютере игрока прокси-сервер, эмулирующий на одной физической машине несколько игровых серверов Counter-Strike и передающий соответствующую информацию на серверы VALVE. При обращении к сэмулированному троянцем игровому серверу программа-клиент перебрасывалась на настоящий игровой сервер злоумышленников, откуда игрок тут же получал троянца Win32.HLLW.HLProxy.
Таким образом, количество зараженных компьютеров росло в геометрической прогрессии.
Помимо этого, троянец обладает функционалом, позволяющим организовывать DDoS-атаки на игровые серверы и серверы VALVE, благодаря чему значительная их часть в разное время могла оказаться недоступна. Можно предположить, что одной из целей злоумышленников являлся сбор денег с владельцев игровых серверов за подключение к ним новых игроков, а также DDoS-атаки на «неугодные» игровые серверы.
Распространение вирусов под видом игр для Android-устройств
Еще один аспект, на котором «играют» злоумышленники, – доверие пользователей к играм. Так Android.Elite.1.origin, относящийся к классу программ-вандалов, распространяется под видом популярных приложений, в том числе игр.
При запуске Android.Elite.1.origin обманным путем пытается получить доступ к функциям администратора мобильного устройства, которые якобы необходимы для завершения корректной установки приложения. В случае успеха троянец приступает к немедленному форматированию подключенной SD-карты, удаляя все хранящиеся на ней данные. После этого вредоносная программа ожидает запуска ряда популярных приложений для общения (мессенджеров).
Помимо форматирования SD-карты и частичной блокировки средств коммуникации, Android.Elite.1.origin с периодичностью в 5 секунд рассылает по всем найденным в телефонной книге контактам СМС, и счет пострадавших владельцев зараженных мобильных устройств может быть опустошен за считанные минуты и даже секунды!
Вирусы как оружие конкурентной борьбы на рынке игр
Конкуренция среди владельцев игровых серверов высока, особенно если речь идет о ресурсах, входящих в топ рейтинга Gametracker. В феврале 2012 появилось несколько вредоносных приложений, предназначенных для вывода из строя игровых серверов, работающих на движке GoldSource (в том числе Counter-Strike, Half-Life). Одно из них, добавленное в вирусную базу Dr.Web под именем Flooder.HLDS, представляет собой программу, которая эмулирует подключение к игровому серверу большого числа игроков, что может вызвать зависание и сбои в его работе.
Другая вредоносная программа, Flooder.HLDS.2, способна отправлять на сервер определенный пакет данных, вызывающих отказ серверного ПО.
Оба приложения получили широкое распространение на форумах околоигровой тематики, и число атак на игровые серверы с помощью данных программ в течение месяца значительно возросло.
Любопытный факт: использование подобных программ-вредителей может нанести ущерб самим злоумышленникам, пытающимся вывести из строя игровые серверы, — в распоряжении специалистов «Доктор Веб» имеются загруженные с игровых форумов экземпляры приложения Flooder.HLDS.2, которое при запуске инфицирует компьютер троянскими программами BackDoor.DarkNess.47 и Trojan.Wmchange.14. Первая из них реализует функции бэкдора и DDoS-бота, второй троянец подменяет в памяти инфицированного ПК номера кошельков при операциях с электронной валютой WebMoney с целью кражи денег со счета пользователя. Таким образом, горе-злоумышленники сами становятся жертвами вирусописателей и подвергают свои компьютеры опасности заражения.
Как защититься, если вы играете в компьютерные игры?
«Доктор Веб» рекомендует:
Перед покупкой аккаунта на игровом сервере внимательно прочитайте текст Лицензионного соглашения и соблюдайте его положения.
- Правила использования большинства игровых серверов, которые должен принять пользователь, включают пункты о полном отказе администрации сервера от каких-либо гарантий в случае кражи аккаунта и о возможности заблокировать любую учетную запись без объяснения причин, что становится сюрпризом для многих игроков.
- При покупке учетной записи соблюдайте условия лицензии, запрещающие покупку учетной записи.
«Доктор Веб» рекомендует:
При приобретении игрового аккаунта требуйте у продавца не только пароль от учетной записи и ответ на секретный вопрос, необходимый для его восстановления, но также полный доступ к почтовому ящику, к которому «привязан» этот аккаунт.
На большинстве игровых серверов (включая поддерживаемые Blizzard) учетная запись пользователя привязана к его адресу электронной почты, иногда — к телефонному номеру. В случае кражи аккаунта администрация будет общаться с тем, кого она считает владельцем аккаунта, по этому e-mail.
«Доктор Веб» рекомендует:
Храните скан-копии вашего паспорта на отдельном носителе, не на геймерском компьютере — чтобы его не увел троянец. Эта рекомендация относится ко всем пользователям, а не только к геймерам. В случае кражи аккаунта администрация игрового сервера может потребовать у вас предоставить паспортные данные , изображения отсканированных страниц паспорта или ваше фото с паспортом в руках.
В качестве доказательства подлинности личности владельца учетной записи техподдержка игрового сервера может попросить выслать фотографию не просто с паспортом в руках, но и с подтверждением времени создания снимка, например, в кадре должна присутствовать свежая газета. В результате аккаунт отдадут тому, кто сможет предоставить такой кадр.
Если вы не сможете это сделать, выставленный на продажу украденный мошенниками игровой аккаунт может быть заблокирован. Деньги останутся у злоумышленников, а проблемы — у вас, их жертвы.
Чтобы вы не стали жертвой троянца, «Доктор Веб» рекомендует:
- Не переходите по ссылкам, если вы не уверены на 100% в том, что они приведут именно туда, куда вам необходимо.
- Загружайте игры только из известных доверенных источников, а при покупке игровых артефактов пользуйтесь только проверенными «рынками».
- Не публикуйте в Интернете свои персональные данные.
- Не отвечайте на «секретные вопросы», которые используются для идентификации на различных сервисах, если вам задают их посторонние люди.
- Позаботьтесь о том, чтобы на вашем компьютере были установлены все актуальные обновления ОС и программного обеспечения, не только антивируса.
- Обязательно используйте актуальную версию антивирусной программы! Обновляйте ее перед каждым заходом на игровой сервер.