W jaki sposób trojany kradną konta w grach

Pewien rodzaj szkodliwego oprogramowania poluje na dane logowania użytkowników, w tym do kont w serwisach z grami takich jak Origin, Battle.net czy Uplay.

Często wspominamy o zagrożeniach internetowych, z jakimi muszą mierzyć się gracze. Są to między innymi szkodliwe programy w pirackich kopiach, modach i cheatach, nie wspominając o phishingu i wszelkiego rodzaju oszustwach podczas kupowania lub wymiany przedmiotów w grze. Niedawno analizowaliśmy problemy z kupowaniem kont. Na szczęście zagrożeń tych można w łatwy sposób uniknąć, jeśli o nich wiesz.

Jest jednak inny problem, o którym należy wiedzieć i zapewnić sobie przed nim ochronę: narzędzia do kradzieży haseł (tzw. stealery). Gdy nasze rozwiązania ochronne je zidentyfikują, zwykle oznaczają je jako Trojan-PSW.(dalszy ciąg nazwy). Trojany te są przeznaczone do kradzieży kont — zarówno kombinacji nazwa użytkownika/hasło, jak i tokenów sesji.

Część narzędzi do kradzieży w platformie Steam to trojany, które kradną konta z tego najpopularniejszego na świecie serwisu z grami. Jednak istnieje też wiele innych platform, np. Battle.net, Origin, Uplay czy sklep Epic Games Store. Korzysta z nich mnóstwo osób, które w sumie włożyły w swoje konta wiele milionów dolarów, a więc nic dziwnego, że interesują się nimi również atakujący, którzy tworzą specjalne narzędzia służące do kradzieży.

Kilka słów o narzędziach do kradzieży haseł

Narzędzia do kradzieży haseł to szkodliwe programy, których zadaniem jest zdobycie informacji związanych z kontami. Zasadniczo można je porównać do trojana bankowego, jednak zamiast przechwytywać czy podmieniać wprowadzane dane, zwykle kradną one informacje już przechowywane na komputerze: nazwy użytkownika i hasła zapisane w przeglądarce, ciasteczka i inne pliki, które znajdują się na dysku twardym zainfekowanego urządzenia. Co więcej, czasami konta w grach są tylko jednym z celów takich narzędzi, ponieważ nie mniej interesują je dane logowania do bankowości internetowej.

Narzędzia te mogą ukraść konto na wiele sposobów. Na przykład trojan Kpot (znany także jako Trojan-PSW.Win32.Kpot) jest dystrybuowany głównie za pośrednictwem spamu poczty e-mail z załącznikami, które używają luk (na przykład w pakiecie Microsoft Office) do pobrania na komputer szkodliwego programu.

Następnie stealer przesyła informacje o programach zainstalowanych na komputerze do serwera kontroli i czeka na polecenia. Mogą nimi być na przykład kradzież ciasteczek, kont w serwisie Telegram i Skype i wiele więcej.

Co więcej, może on kraść pliki z rozszerzeniem .config z folderu %APPDATA%\Battle.net, który, co można się domyśleć, jest związany z serwisem Battle.net, aplikacją służącą do uruchamiania gier należących do Blizzarda. Pliki te zawierają między innymi token sesji gracza — czyli cyberprzestępcy nie dostają nazwy użytkownika i hasła, ale mogą użyć tokena do podszywania się pod użytkownika.

Po co to robią? Aby szybko sprzedać wszystkie przedmioty w grze gracza, czasami nieźle na tym zarabiając. Scenariusz ten faktycznie ma miejsce w różnych grach Blizzarda, w tym World of Warcraft i Diablo 3.

Inne szkodliwe oprogramowanie, które atakuje Uplay, czyli aplikację służącą do uruchamiania gier firmy Ubisoft, nosi nazwę Okasidis, a nasze rozwiązania oznaczają je jako Trojan-Banker.MSIL.Evital.gen. Jeśli chodzi o konta w grze, zachowuje się dokładnie tak samo jak trojan Kpot poza tym, że kradnie dwa konkretne pliki: %LOCALAPPDATA%\Ubisoft Game Launcher\users.dat i %LOCALAPPDATA%\Ubisoft Game Launcher\settings.yml.

Uplay leży również w kręgu zainteresowania szkodliwego programu o nazwie Thief Stealer (wykrywanego jako HEUR:Trojan.Win32.Generic), który kradnie wszystkie pliki z folderu %LOCALAPPDATA%\Ubisoft Game Launcher\.

Ponadto Uplay, Origin i Battle.net są na celowniku szkodliwego programu BetaBot (wykrywanych jako Trojan.Win32.Neurevt), który jednak ma inny tryb działania. Jeśli użytkownik odwiedza stronę, której adres zawiera określone wyrazy (np. każdy adres ze słowem „uplay” lub „origin”), szkodliwy program rozpoczyna gromadzenie danych wprowadzanych w umieszczone na tych stronach formularze. W efekcie nazwy użytkowników i hasła do kont wprowadzane na tych stronach wpadają wprost w ręce atakujących.

We wszystkich trzech przypadkach użytkownik raczej nie zauważy niczego, bo trojan nie ujawnia swojej obecności na komputerze w żaden sposób, nie wyświetla żadnych okien z żądaniami, lecz zwyczajnie kradnie pliki i/lub dane.

Jak zapewnić sobie ochronę przed trojanami polującymi na konta w grach

Co do zasady, konta w grach należy chronić w taki sam sposób, jak wszystko inne, także przed narzędziami do kradzieży. Wystarczy przestrzegać kilku prostych zasad:

  • Chroń swoje konta przy użyciu autoryzacji dwuetapowej. Platforma Steam ma Steam Guard, Battle.net ma Blizzard Authenticator, a Epic Games Store oferuje wybór między autoryzacją uwierzytelniającą a autoryzacją poprzez wiadomość tekstową lub e-mail. Jeśli konto ma ochronę dwuetapową, cyberprzestępcy nie zdziałają wiele, nawet gdy zdobędą nazwę użytkownika i hasło.
  • Nie pobieraj modów z podejrzanych stron ani pirackiego oprogramowania. Atakujący dobrze wiedzą, że ludzie chcą mieć wszystko za darmo, i wykorzystują tę wiedzę, ukrywając szkodliwe programy w crackach, cheatach i modach.
  • Korzystaj z niezawodnego rozwiązania ochronnego. Na przykład Kaspersky Total Security identyfikuje i zatrzymuje działanie stealerów.
  • Nie wyłączaj antywirusa podczas grania. W ten sposób możesz tylko ułatwić zadanie narzędziu do kradzieży haseł. Tryb gracza w rozwiązaniu Kaspersky Total Security zapobiega zużywaniu przez program antywirusowy zbyt wielu zasobów systemowych podczas grania. Nie zmniejsza on wydajności ani liczby klatek na sekundę, a mimo to dba o bezpieczeństwo.
Porady