• twitter
  • facebook
  • youtube
https://www.sancta-domenica.hr/

Pazite s kime ćaskate na Steamu

19 veljače 2015 od u PC Vijesti

Proteklih nekoliko mjeseci bili smo svjedoci sve učestalije krađe Steam korisničkih računa pomoću mrskog Steamstealer trojanca, koji na “daljinski” izvlači povjerljive informacije od žrtava (u ovom slučaju naivnih i nepromišljenih gamera).

chart3

Ovaj malware napada strojeve koji imaju instaliran Microsoft.Net framework, a funkcionira tako što se širi kroz spam poruke koje kruže Steam zajednicom. Korisnici Steam zajednice moraju kreirati account kako bi dobili pristup ovim servisima, a kad god se korisnik pokuša prijaviti na Steam, sistem šalje jednokratnu šifru za registrirani ID kako bi se prijavio na svoj nalog (slika ispod).

1.code_.11

Ovaj malware se širi putem Steam chata. Jednom kada se korisnici spoje na svoj nalog, zlonamjerni napadač šalje korisnicima maliciozne linkove. Ponekad koristi Steam marketplace kako bi korisnicima ponudio raznorazne igre po iznimno niskim cijenama te ih na taj način namamio i uvjetovao ih da instaliraju određeni screensaver ili igru. Jedan od takvih instalacionih fajlova mogao bi glasiti ovako:

  • steamwebhelper.exe
  • steamfilestealer.exe
  • img_012.exe
  • browse_service.exe
  • bv847347bdg.exe
  • SteamStear260115.exe
  • Attachments_27_01_2014.exe.

Steamstealer obično sam sebe kopira unutar administratorovg application data foldera, koji obično glasi ovako:

C:\Documents and Settings\Administrator\Application Data\steamwebhelper2\steamwebhelper.exe.

Ovaj malware je obično “zamaskiran s Confuserom – open source aplikacijom, popularnim besplatnim proizdvodom koji “zamagljuje” određene fajlove kako bi skrio i otežao njihovo ispravljanje i reguliranje. Ukoliko učitamo takav fajl, dobit ćemo obavijest o grešci, koju možete vidjeti ispod.

3.error_

Steamstealer često koristi nekoliko ikonica:

2.icon_

Neke od Steamstealerovih glavnih funkcija su prikazane na slici ispod.

4.IDA_Full-1024x417

Funkcije

Steamworker je ime klase objekta koja prikuplja informacije s žrtvinog računala, uključujući cookiese, informacije o prijateljima isl.

addOffer je funkcija koju hakeri najčešće koriste kada žrtvi šalju zahtjev za prijateljstvo ili dodavanje na određenu listu. Primjer za to je:
addOffer(“765611981401****2”, ”179905**4”, ”3dnc**Nb”) – prvi parametar “765611981401****2” je profilni ID korisnika “steamcommunity.com/765611981401****2″.
Drugi parametar 179905**4” koristi se za slanje neke ponude korisniku “steamcommunity.com/179905**4” , dok treći parametar predstavlja Token ID
(npr. steamcommunity.com/179905**4&token=3dnc**Nb”).

ParseSteamCookies omogućava napadaču da ukrade session cookiese Steam korisnika

addItemstoSteal definitra iteme i informacije koje kradu s žrtvinog računala.

SendItems šalje ukradene informacije s žrtvinog računala direktno na napadačev nalog.

sendMessageToFriends šalje poruku ukradenom ID-u.

Krađa podataka

Ovaj malware prvo napravi kompresiju ukradenih informacija u zip format (slika ispod).

5.IDA_steal_Data-1024x270

Potom krade naziv žrtvinog računala, korisničko ime i IP aredsu, a to čini tako što pošalje web zahtjev
icanhazip.com (fajl koji se koristi za buduće spammovanje). Malware potom šalje ove informacije na napadačev email ID:

7.Snipped_original

Napadač šalje linkove koji žrtvi izgledaju bezopasni (obično se radi o Google dokumentu koji izgleda potpuno legitimno), no u sebi sadrže exe fajl koji zapravo pravi nered na žrtvinom računalu (slika ispod).

doc__name

Napadač također prikuplja informacije o user login podacima s raznih browser fajlova:

  • OldOperaPath=”%Appdata%\\Opera\\Opera\\wand.dat”
  • OldOperaPathX64=”%Appdata%\\Opera\\Opera x64\\wand.dat”;
  • ChromePath=”%LocalAppdata%\\Google\\Chrome\\User Data\\Default\\Login Data”
  • YandexPath=”%LocalAppData%\\Yandex\\Yandex Browser\\User Data\\Defaul\\LoginData”.

U prilogu možete vidjeti kako izgleda napadačeva “legalna” akreditacija.

credentials1

Ovo su ukradene informacije sa žrtvinog stroja:

stolen2

Za sada, McAfee zaštitni programi uspješno detekriraju ovu prevaru (prijavljuju je kao PWS-FCAA!i PWS-FBYZ!), no ukoliko ne koristite ovaj tip zaštite, svakako ćemo vam sugerirati da malo pripazite što i odakle skidate. Ne nasjedajte na jeftine trikove pokvarenih lopova – ako naletite na neki od novih hitova koji vam se nudi po nekoj apsurdnoj cijeni, razmislite malo, jer ako zvuče predobro da bi bilo istinito, vjerojatno i nije. Ne zalijećite se jer vjerojatno se radi o najobičnijem triku koji će vas dobro oštetiti. Pamet u glavu..

Slični članci

Leave a Comment

Translate »