PL RU CN DE EN ES FR IT JP PL UA

Gra z wirusami

Statystyki pokazują, że wielu użytkowników nie docenia zagrożenia niesionego przez złośliwe programy i cyberprzestępców:

  • Tylko 15% użytkowników zdaje sobie sprawę z tego, że ich komputery mogą stać się celem dla cyberprzestępców.
  • Jeden na trzech użytkowników wierzy, że jest mało prawdopodobne, aby mógł on ponieść stratę finansową na skutek cyberataku.
  • Ogromna większość ludzi myśli, że nikt nie interesuje się ich osobistymi informacjami.

Gracze, którzy często nie używają oprogramowania antywirusowego, ponieważ może ono spowalniać ich komputery, tworzą bardzo specyficzny segment użytkowników, narażony na ataki ze strony twórców wirusów. Różnią się oni od siebie zarówno pod względem poziomu doświadczenia ich postaci, jak i ilości zgromadzonych "dóbr", ale łączy ich to, że wszystkie pozyskane przez nich rzeczy mogą być skradzione i sprzedane.

Kto w wirtualnym świecie gier znajduje się na celowniku przestępców?

Gracze mogą być podzieleni na trzy grupy:

  • Ekstremalni fani gier i gracze profesjonalni. Posiadają znaczące zasoby elementów gier.
  • Zwykli gracze, dla których gry są źródłem relaksu i oderwania się od pracy lub problemów. Ich konta i komputery mogą być użyte do przeprowadzania wyrafinowanych ataków i do wyłudzania pieniędzy.
  • Dzieci i nastolatkowie mogą być zarówno ekstremalnymi jak i zwykłymi graczami. W tym przypadku ich rodzice, a bardziej precyzyjnie, ich portfele rodziców, mogą ulec uszczerbkowi na skutek cyberataku. Są to w szczególności młodzi użytkownicy, oferujący skradzione elementy gier "za darmo".

Ważne!

Nastolatkowie mają tendencje do ekstremalnych zachowań; ignorują zalecenia dotyczące bezpieczeństwa i chcą dostać się do zakazanego owocu. W takim przypadku użycie Kontroli Rodzicielskiej Dr.Web, zapobiegającej infekcjom i zapewniającej integralność informacji i elementów gier jest niezbędne!

Tymczasem doświadczenie analityków bezpieczeństwa Doctor Web pokazuje, że zagrożenia związane z wirusami są bardzo realne dla osób spędzających czas w wirtualnych światach gier.

Вирусы произошли от… игр!

Wirusy ewoluowały z… gier!

Dziwne ale prawdziwe: To była gra komputerowa Pervading Animal — ani wirus, ani koń trojański — ale był to jeden z pierwszych złośliwych programów, który zadawał pytania prowadzące do próby odgadnięcia nazwy zwierzęcia, o którym pomyślał użytkownik. Program inicjował procedurę Pervade wykorzystującą informacje o katalogach, do których odwoływał się użytkownik, i kopiującą plik Pervading Animal do wszystkich tych katalogów. Program wykorzystywał zasoby zaatakowanych komputerów do swojej własnej replikacji i wykonywania ukrytych zadań, więc działał podobnie do dzisiejszych trojanów.

character

Co przestępcy kradną z komputerów graczy?

Hakerzy kierują swoje zainteresowanie wszędzie tam, gdzie są w stanie uzyskać nielegalne zyski. Poszukują elementów gier i kont — wszystko czym interesują się gracze może być skradzione i sprzedane.

Czym interesują się gracze?

  • Szybkie tworzenie postaci lub zakup postaci wysokiego poziomu.
  • Postać o maksymalnej liczbie różnych "umiejętności" i punktów za doświadczenie, elementy gier takie jak uzbrojenie i narzędzia (czasami bardzo rzadkie), jak i zestaw umiejętności i zawodów dostępnych dla danej postaci. Im więcej zalet jest dostępnych, tym wyższa jest cena za takie konto. W niektórych przypadkach może ona przekroczyć 500 USD.

    #drweb

  • Zakup, wymiana i sprzedaż elementów gier, czasami za prawdziwe pieniądze.
#drweb

Poszukują elementów gier i kont — wszystko czym interesują się gracze może być skradzione i sprzedane.

Podając cenę postaci wysokiego poziomu i drogich elementów, gracze i ich zasoby stają się jednym z ulubionych celów przestępców.

Jak malware pomaga atakującym w kradzieży kont i elementów gier?

Przykład trojana wykradającego elementy gier

Trojan.SteamLogger.1 został zaprojektowany do wykradania zasobów gier Dota 2, Counter-Strike: Global Offensive i Team Fortress 2. Analitycy bezpieczeństwa Doctor Web wykryli tego trojana w październiku 2014.

Gdy główny moduł Trojan.SteamLogger.1 zostanie zainicjowany i uruchomiony, wyszukuje proces klienta Steam i sprawdza, czy użytkownik jest zalogowany na swoje konto. Jeśli nie, złośliwy program będzie czekał na moment autentykacji użytkownika na serwerze, a następnie pozyska informacje o jego koncie Steam (aby określić, czy SteamGuard, steam-id, i/lub token bezpieczeństwa są dostępne) i wyśle dane do przestępców. W odpowiedzi Trojan.SteamLogger.1 pozyskuje listę kont, na które będzie mógł wysłać elementy gier pochodzące z zaatakowanego konta. Trojan próbuje wykraść najbardziej wartościowe elementy gier, "skrzynie" i "klucze do skrzyń". Trojan.SteamLogger.1 monitoruje również, czy gracz próbuje samodzielnie sprzedać któryś z wirtualnych elementów, a jeśli tak, to automatycznie usuwa takie elementy z okna dialogowego sprzedaży.

Wszystkie zebrane dane są wysyłane na serwer przestępców, po czym trojan sprawdza, czy automatyczna autoryzacja jest włączona w ustawieniach klienta Steam. Jeśli ta funkcjonalność jest wyłączona, malware tworzy oddzielny wątek w celu uruchomienia keylogera. Informacja o zarejestrowanych naciśnięciach klawiszy będzie wysyłana do atakujących co 15 sekund.

Trojan.SteamLogger.1 rozpowszechnia się przez fora lub Steam live chat z ofertami sprzedaży, zakupu lub wymiany elementów gier.

#drweb

#drweb

#drweb

Jak przestępcy czerpią zyski z przejętych kont?

  • Konta są sprzedawane: w najbardziej prymitywnym przypadku przestępcy tylko sprzedadzą skradzione konta w swoich, specjalnie w tym celu stworzonych, sklepach on-line.
  • Elementy gier są wykradane i również sprzedawane: hakerzy potrafią przesyłać wszystkie elementy gier ze swoich kont na inne, w celu późniejszej sprzedaży.
  • Fałszywe kredyty: Nowi właściciele skradzionych kont mogą wykorzystać zaufanie swoich współtowarzyszy z gry i pożyczyć od nich trochę wirtualnych pieniędzy lub okraść wspólny dla stowarzyszenia wirtualny bank. Skutkuje to zniszczoną reputacją takiego konta, wykluczeniem (zakazem dostępu do serwera gry) i psychologiczną traumą (w przypadku wrażliwej psychiki dzieci może to skutkować nieprzyjemnymi konsekwencjami).
  • Ataki phishingowe: Przestępcy mogą używać skradzionych kont do dystrybucji phishingowych adresów URL, np. mogą publikować fałszywe ogłoszenia o promocjach oferowanych przez twórców gier, które wymagają zalogowania się loginem i hasłem gracza na, niezależnej od twórcy gry, stronie www lub oferują im złośliwą aplikację ukrytą pod programem rozszerzającym atrybuty posiadanej postaci. Oczywiście takie działania również niszczą reputację tak wykorzystanych kont!
  • Wyłudzanie od użytkowników korzyści w zamian za ich elementy gier: przestępcy blokują dostęp do elementów gier danego użytkownika i żądają okupu za ich odblokowanie.

W jaki sposób przestępcy infekują komputery graczy?

Maszyny są głównie infekowane trojanami.

Przestępcy mogą dystrybuować linki do stron phishingowych w wiadomościach wysyłanych w imieniu użytkowników, których konta zostały skradzione. Przykładowo, mogą publikować fałszywe ogłoszenia o promocjach lub rozpowszechniać malware pod ukryciem dodatkowych, użytecznych dla graczy programów (przypadki wymienione powyżej). Łatwowierne, niedoświadczone dzieci i nastolatkowie z łatwością ulegają takim trikom.

#drweb

Do poszukiwania i przejmowania "portfeli Steam" atakujący używają również phishingu. Na przykład, użytkownikom Twitch oferuje się okazję do wzięcia udziału w loterii. Obiecywane nagrody zawierają broń i elementy do kolekcjonowania dla gry Counter Strike: Global Offensive. Gdy złośliwe oprogramowanie uzyska dostęp do konta Steam, zainstalowany w ukryciu trojan będzie potajemnie wykonywać zrzuty ekranu, dodawać nowych przyjaciół, kupować elementy poprzez Steam, a nawet samodzielnie (!) akceptować oferty kupna. Skradzione elementy są sprzedawane w Steam Community Market ze znaczącymi zniżkami — aż do 35%.

Przestępcy wykorzystują fakt, że osoby regularnie odwiedzające serwis Twitch, przywykły do propozycji tego typu. Twitch stał się również najbardziej popularnym wśród graczy serwisem do live streamingu. Pozwala to użytkownikom na zarabianie pieniędzy na "nadawaniu transmisji". Niektórzy nadawcy używają botnetów do zwiększania liczby swoich subskrybentów. Jest to również swego rodzaju ukryty biznes w świecie gier.

Przykład malware dokonującego ataków na platformę Steam

Pod koniec sierpnia 2014 na różnych forach gamingowych pojawiły się wiadomości od użytkowników platformy Steam o zagubionych wartościowych elementach gier. Winowajcą tego był Trojan.SteamBurglar.1 wykorzystany przez wirtualnych złodziei. Do dystrybucji tego programu hakerzy użyli czatu i forów platformy Steam. Zapraszali graczy do obejrzenia zrzutów ekranu wyświetlających broń i inne elementy gier, które rzekomo mogły być kupione lub wymienione. Trojan.SteamBurglar.1 wyświetlał te obrazy użytkownikom zaatakowanych komputerów. W tym czasie trojan przeszukiwał pamięć maszyny pod kątem procesu steam.exe aby uzyskać informacje o elementach gier. Określał, które elementy są najbardziej wartościowe i wykradał je, następnie mogły one być wystawione do odsprzedaży. Skradzione elementy gier były przesyłane na konto Steam używane przez przestępców.

screen

Ważne!

Cyberprzestępcy uruchamiają serwery gier aby dystrybuować złośliwe programy!

Ostatnio analitycy bezpieczeństwa Doctor Web dowiedzieli się, że hakerzy tworzą strony www udające wyglądem i działaniem strony platformy Steam. Fałszywe strony wyglądają dokładnie tak, jak te legalne. Po wybraniu fałszywych gier, użytkownicy są przekierowywani na stronę, z której pobierają złośliwy program, nie zdając sobie nawet z tego sprawy.

Następna faza ataku zależy od możliwości trojana. W ten sposób użytkownicy mogą pobrać szyfrujące ransomware, uważane dziś za jedno z najbardziej niebezpiecznych zagrożeń.

Niebezpieczeństwo: Ransomware szyfrujące pliki!

Oprócz hakerów tworzących specjalne złośliwe programy atakujące określone gry, inni przestępcy wirtualnego świata również chcą zagrabić pulę całkiem realnych dochodów. Ransomware szyfrujące pliki i żądające okupu za ich odszyfrowanie stało się głównym problemem z zakresu naruszeń bezpieczeństwa spowodowanych przez wirusy. Trojany tego typu mogą być dystrybuowane w wiadomościach typu spam, lub jako linki do pobrania w komunikatorach, mogą też infekować maszyny z pamięci typu flash. Proces infekcji jest niewidoczny i użytkownik nie zauważy nic podejrzanego do chwili, gdy jego pliki zostaną zaszyfrowane i żądanie okupu pojawi się na ekranie jego komputera.

YPisaliśmy już na temat tego typu trojanów.

Według Doctor Web ransomware może szyfrować pliki o rozszerzeniach używanych przez popularne gry, takie jak Call of Duty, Minecraft, StarCraft 2, Skyrim, World of Warcraft, League of Legends i World of Tanks.

Proszę zauważyć, że Doctor Web zapewnia darmowe odszyfrowywanie plików tylko dla posiadaczy komercyjnych licencji na oprogramowanie Dr.Web. Jeśli chcesz odszyfrować pliki, zgłoś się do pomocy technicznej Doctor Web.

Twórcy wirusów wykorzystują popularne gry

Przestępcy skupiają się obecnie na możliwości wykorzystania gier do rozpowszechniania wirusów.

Zazwyczaj, po zestawieniu połączenia z serwerem gry Counter-Strike, klient pobiera brakujące komponenty wymagane przez grę ze zdalnego hosta.

#drweb

#drweb

W 2001 roku badania analityków Doctor Web unaoczniły następujący schemat - grupa atakujących uruchomiła serwer gry Counter-Strike, dystrybuujący konia trojańskiego Win32.HLLW.HLProxy (jakiś czas temu ten trojan rozpowszechniał się pomiędzy fanami gry Counter-Strike jako "użyteczna" aplikacja, więc wiele osób pobrało i zainstalowało go na swoich PC z własnej woli).

Mechanizm dystrybucji trojana był dość osobliwy - gdy użytkownik połączył się z serwerem gry, na ekranie gracza wyświetlał się specjalny ekran powitalny MOTD, który potrafił prezentować reklamę serwera, lub dowolny zestaw reguł zdefiniowany przez jego administratorów. Okno zawierało plik HTML. Plik MOTD stworzony przez przestępców zawierał parametr IFRAME, odpowiedzialny za przekierowanie klienta na serwer kontrolowany przez cyberprzestępców. Z tego serwera koń trojański Win32.HLLW.HLProxy był ładowany i uruchamiany na komputerze ofiary.

Głównym celem trojana było uruchomienie na komputerze gracza, serwera proxy naśladującego kilka serwerów gry Counter-Strike na tej samej maszynie i przesyłającego odpowiednie informacje na serwery należące do VALVE. Gdy klient połączył się z serwerem gry naśladowanym przez trojana, zostawał przekierowywany na prawdziwy serwer gry, kontrolowany przez atakujących, z którego gracz otrzymywał konia trojańskiego Win32.HLLW.HLProxy.

Z tego powodu liczba zainfekowanych maszyn zwiększała się wykładniczo.

Dodatkowo trojan potrafił przeprowadzać ataki DDoS na serwery gier i serwery należące do VALVE, więc wiele z nich było niedostępne przez różne okresy czasu. Możemy przypuszczać, że jednym z celów przestępców było zebranie pieniędzy od właścicieli serwerów gry za dostarczanie nowych graczy, jak i za ataki DDoS na "niechciane" serwery gry.

#drweb

Malware w przebraniu gier dla Androida

Przestępcy również ukrywają złośliwe programy pod legalnymi aplikacjami, w tym i gier. Przykładowo Android.Elite.1.origin, będący programem-wandalem, rozpowszechnia się udając różne popularne aplikacje.

#drweb

Gdy Android.Elite.1.origin zostanie uruchomiony, próbuje zmusić użytkownika do udzielenia mu dostępu do funkcji administracyjnych urządzenia mobilnego, które są podobno wymagane do prawidłowego zakończenia instalacji aplikacji. Jeśli mu się to uda, program natychmiast rozpoczyna formatowanie dostępnych kart SD, poprzez wymazanie wszystkich zapisanych na nich danych.

#drweb

Oprócz formatowania kart SD i blokowania komunikatorów Android.Elite.1.origin co 5 sekund wysyła SMS do wszystkich kontaktów znalezionych w książce telefonicznej urządzenia, na skutek czego mobilne konto użytkownika może być wyczerpane w ciągu kilku minut lub nawet sekund!

Złośliwe programy jako broń przeciwko współzawodnikom na rynku gier

Współzawodnictwo pomiędzy właścicielami serwerów gamingowych jest tradycyjnie wysokie, szczególnie gdy te serwery znajdują się na szczycie list popularności wśród graczy. W lutym 2012 pojawiło się kilka złośliwych aplikacji zaprojektowanych do zatrzymania serwerów GoldSource (włączając serwery gier Counter-strike i Half-Life). Jedna z nich, dodana do bazy wirusów Dr.Web jako Flooder.HLDS, jest programem generującym dużą ilość połączeń do serwera gier, co może doprowadzić do "zamrożenia" serwera i wystąpienia błędów.

Flooder.HLDS.2 to inny złośliwy program, wysyłający pewny pakiet danych do serwera, powodujący nagłe zatrzymanie jego pracy.

Obie aplikacje były szeroko dystrybuowane poprzez poświęcone grom fora, a liczba ataków na serwery gier zorganizowanych z użyciem tych programów zwiększyła się znacząco w ostatnich miesiącach.

Co interesujące, te programy mogą powodować uszkodzenie systemów przestępców próbujących zatrzymać serwery gier. Analitycy wirusów Doctor Web weszli w posiadanie kopii Flooder.HLDS.2, dostępnych na forach gamingowych, które po uruchomieniu infekują system wirusami BackDoor.DarkNess.47 i Trojan.Wmchange.14. Pierwszy z nich działa jako backdoor i bot DDoS, podczas gdy drugi trojan zastępuje w pamięci zarażonego komputera ID portfela WebMoney, w celu wykradzenia pieniędzy z konta użytkownika. Tym samym, niedoszli przestępcy sami zostają ofiarami ataku wirusów i poddają swoje własne komputery ryzyku infekcji.

#drweb

Jak gracze mogą chronić swoje komputery?

Doctor Web zaleca:

Przed zakupem konta na serwerze gier przeczytaj dokładnie umowę licencyjną i stosuj się do jej postanowień.

  • Zasady użytkowania na większości serwerów gier zawierają zastrzeżenie mówiące o tym, że podmiot administrujący serwerem nie zapewnia żadnych gwarancji lub odszkodowań, w związku z kradzieżą konta i może zablokować każde konto na podstawie swojej swobody decyzji - coś, czego wielu graczy nigdy by się nie spodziewało.
  • Podczas zakupu konta zastosuj się do postanowień umowy licencyjnej zabraniających nabycia konta.

Doctor Web zaleca:

Jeśli kupujesz konto gamingowe, oprócz hasła i odpowiedzi na pytanie bezpieczeństwa, powinieneś również zażądać pełnego dostępu do skrzynki mailowej powiązanej z kontem.

Większość kont na serwerach gier (włączając te obsługiwane przez Blizzard Entertainment) jest powiązana z adresami e-mail i czasami również z numerami telefonów. Jeśli konto zostaje skradzione, administratorzy serwera powinni skomunikować się poprzez ten e-mail z domniemanym prawowitym właścicielem konta.

Doctor Web zaleca:

Nie zachowuj zeskanowanych kopii swojego ID na komputerze, na którym korzystasz z gier. W ten sposób trojan może je wykraść. To zalecenie stosuje się do wszystkich użytkowników, nie tylko do graczy. Jeśli konto zostanie skradzione, administratorzy mogą poprosić o dostarczenie informacji o Twoim ID, zeskanowanego obrazu ID, lub fotografii ukazującej Ciebie trzymającego ID w ręce.

Aby potwierdzić tożsamość właściciela konta wsparcie techniczne może poprosić o zdjęcie zawierające paszport właściciela i ostatnie wydanie gazety lub czasopisma w celu udowodnienia, że zdjęcie zostało wykonane niedawno. W rezultacie konto będzie przekazane osobie, która będzie w stanie dostarczyć tego typu fotografię.

Jeśli nie jesteś w stanie spełnić tych warunków, takie skradzione konto, które zostało Tobie sprzedane może zostać zablokowane. W każdym przypadku pieniądze pozostaną u przestępców, a problemy po stronie ich ofiar.

Aby uniknąć incydentów tego typu, Doctor Web zaleca:

  1. Nigdy nie otwieraj linków, jeśli nie jesteś całkowicie pewien, że prowadzą do oczekiwanej przez Ciebie destynacji.
  2. Pobieraj gry wyłącznie z zaufanych serwisów, kupuj elementy gier tylko na zaufanych 'rynkach'.
  3. Nie podawaj swoich informacji osobistych w Internecie.
  4. Nie odpowiadaj na pytania bezpieczeństwa używane do weryfikacji tożsamości użytkowników, jeśli są zadawane przez nieznajomych.
  5. Upewnij się, że wszystkie istotne aktualizacje dla Twojego systemu operacyjnego i dla wszystkich Twoich aplikacji (nie tylko dla antywirusa) zostały zainstalowane na Twoim komputerze.
  6. Upewnij się, że używasz najnowszej wersji swojego programu antywirusowego! Zawsze aktualizuj go przed zalogowaniem się na serwer gamingowy.

Dziękujemy za poświęcenie czasu na zapoznanie się z materiałami