Top 5 загроз для користувачів онлайн-ігор

Онлайн-ігри є на сьогоднішній день дуже поширеними, тому не дивно, що їх користувачі стають мішенню зловмисників. У цьому пості ми розглянемо найбільш поширені типи атак, які загрожують гравцям. Як у випадку з іншими користувачами, гравці можуть стати жертвою фішингових повідомлень, а також фальшивих додатків.



На сьогоднішній день відомо істотне кількість примірників троянів Win32/PSW.OnLineGames, які спеціалізуються на крадіжці конфіденційної інформації онлайн-ігор або здійсненні інших шахрайських операцій з окулярами персонажів гри користувача. Розглянемо кожну з загроз більш докладно.

#1 TeslaCrypt

Ми вже неодноразово писали про деструктивні властивості здирників-шифрувальників. Це шкідливе ПЗ спеціалізується на шифрування файлів користувача з подальшою вимогою викупу за розшифровку.



Серед інших представників сімейств шифрувальників, TeslaCrypt виділяється тим, що він спеціалізується на шифрування файлів даних, що належать ігор. Серед цих ігор такі відомі як Call of Duty і Minecraft. TeslaCrypt блокує доступ користувачеві до файлів збережень гри, конфігураційних файлів, а також файлів ігрових елементів.

Якщо ми подивимося на графік нижче, то побачимо кількість виявлень TeslaCrypt з боку AV продуктів ESET в 2016 р. Максимальний рівень виявлень припадає на березень, досягнувши позначки в більш ніж півмільйона випадків.



Тим не менш, існує два ключових моменти, про які варто згадати. По-перше, TeslaCrypt більше не розвивається — розробники закрили сервіс відновлення файлів. Тим не менше, сама шкідлива програма може все ще поширюватися і успішно заражати системи користувачів онлайн-ігор. Доброю новиною є той факт, що автори здирника опублікували універсальний ключ розшифровки файлів, який був використаний інструменті розшифровки файлів від ESET.

По-друге, такий тип здирників, який націлений на шифрування файлів гри, не є ефективним, оскільки сучасні ігри зберігають файли збереженої гри і налаштування на віддаленому сервері, роблячи можливим процес відновлення файлів з хмари у разі їх втрати. Таким чином, ті ігри, які не зберігають свої дані на віддаленому сервері, більш схильні до шкідливих дій вимагача.

#2 Викрадачі паролів

Викрадачі паролів онлайн-ігор чимось схожі на прості кейлогери, які спеціалізуються на крадіжці набраних користувачем паролів шляхом збереження набраного користувачем тексту в окремий файл. Такі шкідливі програми можуть викрадати дані облікових записів користувачів таких ігрових платформ як Steam або Origin.

Кіберзлочинці використовують методи соціальної інженерії для обману користувачів і переконання їх для виконання операції завантаження шкідливого ПО з його подальшим запуском. Найбільш поширеним методом обману є надсилання повідомлення в чаті передбачуваної жертви з пропозицією іншого гравця приєднатися до його команди. Цей невідомий жертві гравець, як правило, є дуже дружелюбним і хвалить її за гарні ігрові навички, при цьому пропонуючи йому приєднатися до команди просунутих гравців.

У якийсь момент часу, жертві буде запропоновано завантажити та встановити програму, наприклад, програму для голосового зв'язку. При цьому зловмисник буде досить наполегливий у своїй прохання і буде говорити жертві, що для приєднання до команди йому обов'язково потрібно встановити цей додаток. Зрозуміло, після завантаження і запуску програми, користувач встановлює до себе в систему викрадач паролів.



На малюнку вище показано фрагмент чату, в якому зловмисник вмовляє свою жертву встановити додаток. Антивірусні продукти ESET виявляють і блокують велика кількість завантажуваних таким способом шкідливих програм. Одна з таких шкідливих програм виявляється нашими продуктами як Win32/PSW.OnLineGames.NNU. У цьому випадку, крім крадіжки облікових даних і кейлоггинга, шкідлива програма шукає файли даних деяких ігор, як World of Warcraft. Інший екземпляр колекції під назвою Win32/PSW.OnLineGames.OUM приймає і виконує команди, отримані з віддаленого C&C-сервера. Він також намагається нейтралізувати встановлені у користувача в системі антивірусні продукти.

У 2016 р. кількість виявлень шкідливого ПЗ Win32/PSW.OnLineGames доходило до чверті мільйона примірників.



Варто згадати і інші шкідливі програми, які спрямовані на компрометацію відомої ігрової платформи Steam. Перша називається HTML/Stimilik.H, вона написана на C# і дозволяє атакуючим отримувати віддалений доступ до скомпрометованої системі. Друга називається Win32/PSW.Steam.NBC і володіє схожими характеристиками. Існує і шкідлива програма під назвою Steamlocker, яка блокує доступ до сервісу Steam і вимагає викуп за розблокування.

#3 Фальшиві зломщики (кряки) ігор

Цей метод компрометації користувачів відноситься до соціальної інженерії, незалежно від того, на встановлення яких шкідливих програм він розрахований. Така шахрайська схема полягає в тому, що користувачеві пропонується зломщик який-небудь з ігор, який насправді представляє з себе шкідливе ПЗ і не має заявленим функціоналом.

В якості одного з прикладів можна навести нещодавно виявлений нашими фахівцями «зломщик» комп'ютерної гри FIFA 16. Він поширювався через сервери EA і розміщувався на хостингу Mediafire. Файл має назву fifa16crack (SHA1: 39fb3bdd0a4424eb8bb0489309f6d42d79cee1ce), а його значок переконує користувача в легітимності зломщика.



Незважаючи на те, що зломщик виконує свою функцію і надає можливість гри без ліцензії, він також встановлює в систему шкідливе ПО. Як ми можемо побачити, насправді, файл зломщика представляє з себе саморозгортання SFX-архів, який виконує .bat файли з певними командами для установки майнера криптовалют. Користувач ПК може швидко помітити проблему, оскільки майнінг істотно сповільнить продуктивність системи.



Картинка вище показує один з конфігураційних файлів шкідливої програми. Вона спеціалізується на майнинге декількох типів криптовалют. Наприклад, інший конфігураційний файл вказує на майнінг кріптовалюти Monero.

Варто також пам'ятати, що незважаючи на присутність заявленого функціоналу в додатку зломщика, це не гарантує відсутність в ньому шкідливого коду. Тому важливо мати у себе на комп'ютері встановлене антивірусне ПЗ і не відключати його в тому разі, коли воно сигналізує про присутність шкідливого коду у файлі зломщика. Навіть сьогодні ми як і раніше бачимо, що деякі скомпрометовані додатка 10-річної давності, все ще активними, наприклад, до них відносяться модифіковані версії Aimbot або Wallhack Counter Strike.

#4 Фальшиві програми

На сьогоднішній день велика кількість людей грають в ігри не тільки на комп'ютерах, але і на своїх смартфонах, а також планшетах. Тому користувачам потрібно бути більш обережними і звертати увагу на підроблені програми, що маскуються під легітимні гри або оновлення.



Починаючи з 2015 року ми фіксували появу різних шкідливих мобільних додатків, які маскувалися під відомі ігри і виконували різні типи атак на користувачів скомпрометованих пристроїв. Ймовірно, одним з найбільш небезпечних таких програм був виявлений нами бекдор Android/Trojandownloader.Mapin, який надавав зловмисникам можливість віддаленого керування пристрою. Він маскувався під такі ігри як Plants vs. Zombies 2 і Subway Surfers. Mapin використовувався зловмисниками і для показу повноекранної реклами користувачеві.

Іншим відомим випадком фальшивого додатка є вже описане нами scareware-додаток, який маскувався під гру Minecraft. Додаток було завантажено в магазині Google Play понад 600 тис. разів. Воно представляє із себе фальшивий антивірус, який виявляє на пристрої «загрози» і пропонує користувачеві підписатися на платний сервіс розсилки SMS-повідомлень для видалення загроз.

Нарешті, можна згадати перший здирник для Android, який использует тему гри Pockemon Go в своїх цілях. У цьому випадку пристрій користувача блокується і нормальна робота за не стає неможливою. Для розблокування пристрою можна скористатися функцією перезавантаження, однак, програма все одно продовжить роботу у фоновому режимі, виконуючи переходи кліків по посиланнях порно-сайтів.

#5 Фішинг

Найбільш поширеним методом атаки на користувачів онлайн-ігор залишається фішинг. Зловмисники використовують для крадіжки облікових даних користувача фальшиві веб-сайти, а також фальшиві електронні повідомлення, які інструктують користувача на відправку конфіденційних даних у відповідному електронному повідомленні. Фальшивий сайт може частково або майже повністю імітувати інтерфейс оригінального веб-сайту, крадіжка логіна і пароля в такому випадку буде відбуватися з допомогою фальшивої форми введення цих даних для входу в аккаунт.

Рекомендації

Нижче наведений список рекомендацій, слідуючи яким ви істотно зменшите ризик зараження вищевказаним шкідливим ПЗ.

  • Регулярно оновлюйте свої ігри і програми. Для них регулярно виходять оновлення, які можуть закривати використовуються зловмисниками уразливості.
  • Використовуйте антивірусне програмне забезпечення на комп'ютері і не відключайте його. Будьте уважні і звертайте увагу на повідомлення додатків, які просять вимкнути антивірусний захист для свого успішного запуску у системі. Деякі антивірусні продукти мають у своєму складі спеціальну настройку для ігрового режиму, яка оптимізує роботу антивірусного ПЗ під час гри користувача. Таку настройку має антивірусний продукт ESET Smart Security.
  • Ігноруйте запити на відправку секретної інформації в чаті від інших користувачів. Пам'ятайте, що розробники гри ніколи не запитають у вас секретну інформацію. Використовуйте двофакторну аутентифікацію, у разі її присутності, таким чином, навіть якщо зловмисник отримає ваш пароль облікового запису, він не зможе увійти в систему за допомогою нього. Приклади 2FA аутентифікації наступних сервісів: Steam Guard / Steam Mobile Кодів, Login verification для Origin, Blizzard/Battle.NET генератор Кодів.
  • Регулярно змінюйте паролі на своїх акаунтах ігрових сервісів. Використовуйте також секретну фразу і не використовуйте однакові фрази на декількох сервісах.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.