17/03/2016

Złodzieje ze Steama: ich celem jest Twoje konto

Zagrożenia

Hakerzy są zainteresowani każdym zasobem sieciowym, w którym przesyła się jakieś pieniądze, dlatego mają oko na serwis Steam: wg obliczeń własnych Valve’a co miesiąc hakowane i okradane jest około 77 000 kont użytkowników.

Steam-Hack-FB

Jak ujawnia Valve, ofiarami nie zostają tylko nowi lub naiwni użytkownicy, bo przydarzyło się to także graczom profesjonalnym, współtwórcom Reddit czy handlarzom elementami do gier. Steam przyznaje, że wie o tym, że hakerzy ubijają prawdziwy interes, kradnąc konta i własności w grach wirtualnych. Nowoczesne produkty umożliwiają czekanie nawet kilka miesięcy, aż dany szkodliwy program lub określona infekcja przyniesie zysk — jest ich tak wiele, że los pojedynczej sztuki nie jest krytyczny. W związku z tym można przyjąć, że każde nowe konto w serwisie Steam jest obecnie celem jakiegoś ataku.

Kaspersky Lab zdecydował się przeprowadzić śledztwo, aby zrozumieć, co złego dzieje się na rynku gier. Okazało się, że nasi eksperci z zespołu GReAT znacznie niedoszacowali skali oszustwa. Na domiar złego naszą uwagę przyciągnęły szkodliwe programy z grupy Steam Stealer. Mamy nadzieję, że ten raport przyniesie nam kolejne cenne informacje, przez co uda się znaleźć tak potrzebny balans w ekosystemie gier.

Szkodliwe oprogramowanie jako usługa kradnie gry

Ogólnie społeczność Steam działa jak każda inna sieć społecznościowa, w której użytkownicy często kontaktują się z obcymi, wymieniają wiadomościami lub handlują aktywami gier. Serwis Steam należy do branży gier, a zakupy są powiązane z profilem użytkownika, przez co są jeszcze bardziej wartościowe. To dlatego wśród cyberprzestępców działających w tym obszarze najchętniej stosowane są ataki typu phishing i spear-phishing, chociaż są one tylko częścią całej historii.

Rodzina szkodliwych programów o nazwie Steam Stealer okazała się być niesamowicie dochodowa dla hakerów, okradając użytkowników Steam na całym świecie. Niestety za atakami nie stoi jeden oszust czy cybergang, ale raczej całe wojsko. Spotkaliśmy już podobny przypadek, w którym przestępcy zarabiali na sprzedaży szkodliwych programów w postaci usługi. Tutaj przestępcy sprzedają różne wersje szkodliwych programów swoim mniej doświadczonym kolegom, oferując im różne funkcje, darmowe aktualizacje, poradniki, osobiste wskazówki ich dystrybucji i wiele więcej.

Mówiąc wprost, ten rodzaj szkodliwego programu jest bardzo łatwy w użyciu. Aby wejść do świata cyberprzestępczego, mogą z niego skorzystać nawet osoby początkujące, a przeciętny programista zrobi z niego jeszcze lepszy użytek.
Drugim powodem, dlaczego zagrożenia z rodziny Steam Stealers są takie popularne, jest fakt, że… są tanie. Podczas gdy szkodliwy program jako usługa kosztuje zazwyczaj około 500 dolarów za próbkę, zagrożenia z rodziny Steam Stealer są sprzedawane za jedynie 3 dolary. Gdy się dołoży 4 dolary, można otrzymać instrukcje i kod źródłowy, więc program można modyfikować samemu. A jeśli ktoś chciałby powiedzieć, że wybraliśmy najtańszy, uściślamy: trudno jest znaleźć trojana kosztującego więcej niż 30 dolarów.

Kolejnym „bonusem” oferowanym za dodatkową opłatą jest stworzenie fałszywej strony. Klonowanie popularnych programów czy zasobu internetowego używanego przez graczy to pewny i dochodowy dodatek do szkodliwych kampanii, których zadaniem jest kradzież danych uwierzytelniających użytkownika. Przykładowo, przestępcy mogą utworzyć fałszywą kopię czatów głosowych typu TeamSpeak czy RazerComms, a także popularnych stron udostępniania zdjęć: Lightshot czy Imgur.

Stare nowe sposoby na kradzież

Obecnie jednym z najbardziej popularnych szkodliwych programów jest fałszywy program „Steam Login”, który wysyła skradzione dane logowania cyberprzestępcom. Niektóre jego wersje wysyłają także bardzo przydatne pliki konfiguracyjne usługi Steam Guard. Są one stworzone przy użyciu flagowego języka Microsoftu, C#, którego tak wielu ludzi zna i wie, jak pisać do niego dodatki.

Przestępcy wyciągnęli wnioski z historii o wieży Babel. Cały kod źródłowy tego szkodliwego programu jest posiada spójną dokumentację i jest dostępny w kilku językach, co zwiększa prawdopodobieństwo powodzenia ataku. Dystrybucję malware’u i atakowanie określonego regionu czy kraju może ułatwić wiedza na temat popularności jakiejś gry w danym regionie.

Przykładowo, aktywność zagrożenia Steam Stealing w Rosji i innych rosyjskojęzycznych częściach Europy Wschodniej oznacza, że lokalni mieszkańcy muszą znaleźć stealera w wersji rosyjskiej. Platforma Steam jest bardzo popularna w Rosji, podobnie jak Counter-Strike: Global Offensive to jedna z najczęściej wybieranych gier.

W trakcie trwania śledztwa zauważyliśmy, że stare, dobrze znane metody oszustwa ewoluowały: fałszywe zrzuty ekranu są lepszej jakości, kopie stron wyglądają wiarygodniej, metody dostawy stały się bardziej zróżnicowane, a boty lepiej naśladują mimikę człowieka. Oczywiste jest zatem, że liczba zagrożeń specjalnie dostosowanych do kradzieży własności Steam będzie się zwiększać, bo rok 2016 dopiero się rozpoczął. Więcej informacji na ten temat znajduje się w języku angielskim w serwisie Securelist.com.

Co robi firma Valve, aby chronić swoich użytkowników?

W sezonie wakacyjnym roku 2015 platforma dystrybucji cyfrowej Valve’a osiągnęła imponującą liczbę 12 milionów użytkowników korzystających z platformy równocześnie. Jak widać, jest jeszcze wiele potencjalnych ofiar, którymi mogą zacząć interesować się jeszcze bardziej chciwi hakerzy.

Firma Valve martwi się, że na jej wiodącej platformie growej rozkwita biznes przestępczy, stara się więc dodawać wciąż nowsze zabezpieczenia. Ale przestępcy również nie przestają poszukiwać potencjalnych luk; jest to zatem niekończąca się walka, gdzie zwycięzca zawsze musi być o krok do przodu.

Problem polega na tym, że Steam to platforma utworzona w celach rozrywkowych, a takie usługi zawsze balansują na krawędzi bezpieczeństwa i łatwości użytkowania. Wielu graczy nie jest gotowych na poświęcenie swojej wygody na rzecz bezpieczeństwa, więc jeśli serwis nie wygra tej bitwy za użytkowników, będą oni musieli wziąć sprawy w swoje ręce.

Chce chronić moje konto w serwisie Steam. Co muszę zrobić?

  • Stosuj aktualizacje i nowe funkcje zabezpieczające w serwisie Steam.
  • Czytaj na temat najczęściej stosowanych metod oszukiwania na platformie.
  • Włącz dwuetapowe uwierzytelnianie przez Steam Guard.
  • Bądź świadomy, że istnieją kampanie phishingowe, w których wysyłane są bezpośrednie wiadomości i używane są fałszywe strony. I koniecznie dowiedz się, co to jest phishing oraz jak się przed nim ochronić (jeśli jeszcze nie wiesz).
  • Pamiętaj o aktualizacjach produktu zabezpieczającego i nigdy go nie wyłączaj. Kaspersky Internet Security posiada specjalny Profil gracza — gdy gra jest w trybie pełnoekranowym, program nie będzie wykonywał żadnych zadań, które będą miały wpływ na wydajność, oraz nie będzie Cię rozpraszał.

Jak być może wiesz, przestępcy lubią działać masowo. Jeśli nie uda im się pokonać Ciebie, być może będzie to dla nich sygnał, że opanowanie tej platformy to nie takie łatwe zadanie.

Zapoznaj się z biblioteką własną Steama, poświęconą zagadnieniu bezpieczeństwa, i postępuj zgodnie z jej wytycznymi. Warto także przeczytać poniższe artykuły: