چطور تروجان‌ها اکانت‌های گیمینگ را سرقت می‌کنند؟

۱۳۹۹/۴/۹امنیت اطلاعات

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ ما اغلب از تهدیدهای آنلاینی که متوجه گیمرها می‌شود از جمله بدافزارهایی در کپی‌های پایرت‌شده، مودها[1] و جعل‌ها (فیشینگ و انواع اسکم‌ها موقع خرید یا مبادله‌ی آیتم‌های درون‌گیمی را که دیگر نگوییم) صحبت می‌کنیم. همین چند وقت پیش بود که نگاهی داشتیم بر مشکلاتی حین خرید اکانت‌ها. خوشبختانه، جلوگیری از تهدیدها –در صورتیکه نسبت بدان‌ها اطلاع داشته باشید- کار آسانی است. اما در این خبر با شما از مشکل دیگری سخن گفته‌ایم؛ مشکلی که باید از آن خبر داشته باشید و در برابر آن از خود دفاع کنید: سارقین رمزعبور. وقتی راهکارهای امنیتی ما آن‌ها را گیر می‌اندازد معمولاً در قالب Trojan-PSW شناسایی می‌شوند. این نوع تروجان‌ها، تروجان‌هایی هستند طراحی‌شده برای سرقت اکانت‌ها (یا ترکیبی از نام کاربری/رمزعبور یا توکن‌های سشن).

شاید تا به حال اسم سارقین استیم به گوشتان خورده باشد؛ تروجان‌هایی که در محبوب‌ترین سرویس گیمینگ مشغول سرقت اکانتند. اما پلت‌فرم‌های دیگری مانند Battle.net، Origin، Uplay وEpic Games Store نیز آن بیرون هست که می‌تواند مورد هجوم مجرمین سایبری قرار گیرد. همه‌ی پلت‌فرم‌های مذکور مخاطبینی چند میلیون دلاری دارند؛ پس طبیعی است که مهاجمین به چنین پلت‌فرم‌هایی علاقه نشان دهند و دزد رمزعبور را به جان آن‌ها بیاندازند.

دزد رمزعبور چیست؟

دزدان رمزعبور[2] نوعی بدافزارند که کارشان سرقت اطلاعات اکانت است. در اصل، چیزی شبیه به تروجان بانکی هستند اما به جای قطع کردن یا جایگزین کردن داده‌های واردشده معمولاً اطلاعاتی را که از پیش در کامپیوتر ذخیره شده است سرقت می‌کنند: نام‌های کاربری و رمزهای عبورِ ذخیره‌شده در مرورگر، کوکی‌ها و سایر فایل‌های روی هارد درایوِ دستگاه آلوده.

افزون بر این، برخی‌اوقات اکانت‌های گیم فقط یکی از تارگت‌های سارقینند- برخی هم عاشق اطلاعات بانکی آنلاین و محرمانه‌ی شما هستند. دزدها می‌توانند به روش‌های مختلف اکانت‌ها را سرقت کنند. برای مثال، تروجان دزد Kpot را در نظر بگیرید (یا همان Trojan-PSW.Win32.Kpot). این تروجان عمدتاً از طریق اسپم ایمیل با پیوست‌هایی که از آسیب‌پذیری‌ها استفاده می‌کنند (برای مثال در مایکروسافت آفیس) برای دانلود بدافزار اصلی روی کامپیوتر توزیع می‌شود.

در مرحله بعد، دزد یا همان استیلر، اطلاعات مربوط به برنامه‌های نصب‌شده روی کامپیوتر را به سرور فرمان و کنترل انتقال می‌دهد و صبر می‌کند تا فرمان‌ها کار خود را پیش ببرند. از میان فرمان‌هایی که به کار گرفته می‌شود، چندتایی فرمان هست که برای سرقت کوکی‌ها، اکانت‌های تلگرام و اسکایپ و موارد دیگر استفاده می‌شوند. اینها می‌توانند فایل‌ها را با افزونه‌ی .config از  فولدر %APPDATA%\Battle.net سرقت کنند؛ فولدری که (همانطور که ممکن است حدس زده باشید) به خود Battle.net یعنی اپ گیم‌لانچرِ Blizzard وصل است. این فایل‌ها (از میان تمامی موارد دیگر) حاوی توکن سشن بازیکن هستند- بدین‌معنا که مجرمان سایبری نام‌کاربری و رمزعبور واقعی را دریافت نمی‌کنند اما می‌توانند از توکن به عنوان پوشش استفاده کرده و خود را جای کاربر واقعی جا بزنند. می‌پرسید چرا؟ جواب ساده است: آن‌ها بسیار سریع می‌توانند تمامی آیتم‌های درون‌گیمیِ قربانی را بفروشند (برخی‌اوقات پول حسابی‌ای هم از این طریق پارو می‌کنند).

این سناریوی امکان‌پذیری در عناوین مختلف Blizzard از جمله World of Warcraft و Diablo 3 است. بدافزار دیگری که Uplay–اپ گیم‌لانچر Ubisoft- را مورد هدف قرار داده است Okasidis نام دارد؛ البته راهکارهای ما آن را Trojan-Banker.MSIL.Evital.gen صدا می‌زنند. این بدافزار در خصوص اکانت‌های گیمینگ درست مانند تروجان Kpot عمل می‌کند با این تفاوت که دو فایل بخصوص را می‌دزدد:

%LOCALAPPDATA%\Ubisoft Game Launcher\users.dat و %LOCALAPPDATA%\Ubisoft Game Launcher\settings.yml.

Uplay همچنین خوراک بدافزاری به نام Thief Stealer (شناسایی‌شده با نام HEUR:Trojan.Win32.Generic) می‌باشد؛ بدافزاری که از فولدر/گیم‌لانچرِ %LOCALAPPDATA%\Ubisoft تمامی فایل‌ها مثل جاروبرقی را بالا می‌کشد. تازه، Uplay، Origin و Battle.net همگی طعمه‌ی چرب و نرمی‌اند برای بدافزار BetaBot (شناسایی‌شده به نام Trojan.Win32.Neurevt). اما این تروجان به طور متفاوتی وارد عملیات می‌شود. اگر کاربر از  URL حاوی یک سری کلیدواژه مخصوص دیدن کند (بعنوان مثال هر آدرسی با واژه‌های uplay یا origin) این بدافزار شروع می‌کند به جمع‌آوری داده از فرم‌های روی این صفحات. این یعنی نام‌های کاربری و رمزهای عبور اکانت که روی این صفحات وارد شده است دو دستی تقدیم مهاجمین می‌شود. در هر سه مورد، کاربر بعید است متوجه چیز مشکوکی شود- تروجان به هیچ‌وجه روی کامپیوتر خود را نشان نداده هیچ پنجره‌ای با درخواست نمایش نمی‌دهد و فقط مخفیانه فایل‌ها و/یا داده‌ها را می‌دزدد.

چطور در امان بمانیم؟ 

در اصل، از اکانت‌های گیمینگ باید درست مانند هر چیز دیگری محافظت شود. برای محافظت از آن‌ها نکات امنیتی زیر را به شما توصیه می‌کنیم:

  • با احراز هویت دوعاملی از اکانت خود محافظت کنید. Steam مجهز به Steam Guard است و Battle.net نیز مجهز به Blizzard Authenticator. Epic Games Store هم دو گزینه اپ احراز هویت‌گر و احراز هویت با متن یا ایمیل را در اختیارتان قرار می‌دهد. اگر اکانت‌تان به سرویس احراز هویت دوعاملی مجهز باشد، آنوقت مجرمان سایبری برای نفوذ به سیستم به چیزی بیش از صرفِ نام کاربری و رمزعبور نیاز خواهند داشت.
  • مودها را از سایت‌های مشکوک یا نرم‌افزارهای پایرت‌شده دانلود نکنید. مهاجمین بخوبی از عطش مردم برای چیزهای رایگان خبر دارند و از طریق بدافزاری مخفی‌شده در کرک‌ها، چیت‌ها و مودها آن را اکسپلویت می‌کنند.
  • از راهکار امنیتی مطمئنی استفاده کنید. برای مثال Kaspersky Security Cloud تمامی استیلرها را می‌گیرد و نمی‌گذارد دست از پا خطا کنند.
  • وقتی در حال بازی کردن هستید، آنتی‌ویروس خود را خاموش نکنید. اگر این کار را کنید، دزد رمزعبور ممکن است ناگهان دست به کار شود. حالت گیمینگِ Kaspersky Security Cloud نمی‌گذارد آنتی‌ویروس در طول بازی کردن شما منابع زیادی از سیستم را مصرف کند. این راهکار امنیتی هیچ تأثیری روی عملکرد یا نرخ فریم ندارد و همچنان تنها هدفش حفظ امنیت است. 

 

[1] Mods

[2] Password stealers

 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.