Специалисты по безопасности Dr.Web обнаружили преступника, который заработал миллионы рублей на сдаче в аренду вредоносного ПО для платформы Steam. Злоумышленник под ником Faker по подписке распространял среди пользователей сервиса боты, выигрывающие «торги» игровыми предметами, и трояны для кражи конфиденциальных данных.

Игровые интернет-аукционы представляют собой «рулетку», где каждый участник ставит на кон инвентарь, от стоимости которого зависит шанс на  выигрыш. Победителю достаются все размещенные в раунде предметы. Своим покупателям киберпреступник предоставляет программы-боты, которые гарантированно забирают все выставленные лоты. Впоследствии выигрыш можно продать за реальные деньги.

С целью усыпить бдительность участников «рулетки» зловред позволяет жертве выиграть определенное число раундов и даже стать администратором аукциона. Однако как только на торги выставляется ценный предмет, он тут же попадает в руки злоумышленников.

Помимо этого, за ежемесячную плату Faker предоставляет всем желающим Trojan.PWS.Steam.13604 . Зловред распространяется методом социальной инженерии — игрок получает уведомление о приглашении в команду, а после успешного матча ему предлагают скачать клиент для голосового общения TeamSpeak, которым якобы пользуются его новые товарищи. Жертве присылают ссылку на загрузку, а при переходе на сайт в устройство проникает троян.

Если пользователь установил эту программу ранее, то преступники просят его подключиться к серверу для совместного общения. Перейдя по ссылке, жертва видит поддельное оповещение о необходимости обновить один из компонентов приложения или драйверы службы аудио. Попытка скачать «апдейт» ведет к заражению системы.

После установки на компьютер троян выгружает процесс Steam, определяет версию ОС, имя устройства и пользователя, язык системы и путь к файлам программы. Вся собранная информация впоследствии отправляется на командный сервер атакующего.

Чтобы обезопасить себя, Steam.13604 заменяет оригинал программы и переписывает содержимое системного файла hosts. Троян блокирует доступ к сайтам поддержки, не позволяя пользователю обновить сервис или получить техническую помощь. Кроме того, он способен имитировать окна приложения и обходить двухэтапную аутентификацию.

Еще одним детищем киберпреступника является Trojan.PSW.Steam.15278. Программа распространяется по тем же каналам, что и Steam.13604, и нацелена на кражу игровых предметов. Зловред действует с помощью бесплатной утилиты для анализа HTTP-трафика Fiddler, которая устанавливает в систему корневой сертификат, что позволяет трояну перехватывать все передающиеся по протоколу HTTPS данные.

Если транзакция проходит на площадках opskins.com, igxe.cn, bitskins.com, g2a.com, csgo.tm, market.csgo.com, market.dota2.net или tf2.tm, вредонос подменяет запрос получателя, используя веб-инжект, и виртуальное имущество оказывается у злоумышленников.

В том случае, когда сделка проходит на официальном сайте, Steam.15278 имитирует окно с предложением об обмене, в котором пользователь видит описание дорогого и редкого инвентаря, тогда как на самом деле предмет сделки стоит копейки. Оспорить покупку довольно сложно, поскольку пользователь добровольно совершает транзакцию.

Желающим приобрести вредоносное ПО достаточно иметь необходимую сумму денег и,  в некоторых случаях, домен. Со своей стороны злоумышленник предоставляет саму программу, доступ к ее административной панели и техническую поддержку. Кроме двух троянов преступник предлагает различные вредоносные плагины для браузера Chrome.

Категории: Вредоносные программы, Мошенничество, Хакеры