- Регистрация
- 10 Июн 2018
- Сообщения
- 709
- Реакции
- 387
- Репутация
- 0
Компьютерные игры — огромная индустрия, в которой крутится чуть ли не столько же денег, сколько в нефтяном бизнесе. Деньги эти привлекают не только инвесторов, но и представителей криминального мира, среди которых немало вирусописателей. Число вредоносных программ, ворующих игровые предметы и угоняющих аккаунты пользователей Steam, растет не по дням, а по часам. Эта статья рассказывает о том, как устроены подобные трояны.
Разработчики современных многопользовательских игр создают целые виртуальные вселенные, наделенные не только своей мифологией и физическими законами, но и собственной экономической системой. В игровых мирах обязательно присутствуют артефакты и амуниция, дающая игроку определенные преимущества или позволяющая изменить внешний вид персонажа. Амуницию можно добыть в бою, найти, получить, решив определенную задачу или выполнив квест, а можно просто купить. Именно так и зарабатывают себе на жизнь некоторые геймеры: продают накопленные непосильным трудом игровые предметы либо даже целые аккаунты с прокачанным персонажем.
А там, где пахнет наживой, неизбежно всплывают и всевозможные серые схемы. Например, еще в 2011 году корреспонденты The Guardian о заключенных китайских тюрем, которых надзиратели заставляли заниматься фармингом — добывать лут и игровую валюту, продававшуюся потом за реальные деньги. Вскоре к дележу пирога присоединились и вирмейкеры, начавшие распространять под видом читов и трейнеров трояны для угона у пользователей игровых аккаунтов. А в 2014 году было зафиксировано распространение вредоносов, кравших не учетки Steam, а отдельные игровые предметы, причем крайне хитроумным способом.
Так выглядит типичный магазин игровых предметов в Steam
SteamBurglar
Летом 2014 года у пользователей CS:GO стал таинственным образом пропадать игровой инвентарь, о чем они писали встревоженные сообщения на Reddit. Непосредственно перед самим инцидентом игрок получал в чате Steam сообщение от другого пользователя с предложением обменяться виртуальными предметами. Послание содержало скриншот предлагаемого к обмену инвентаря, при этом сама сделка выглядела достаточно выгодной. После успешного завершения операции юзер логинился в игру и с удивлением обнаруживал, что часть его наиболее ценного имущества исчезла в неизвестном направлении.
Такие сообщения получали пострадавшие пользователи
Благодаря проведенному аналитиками расследованию удалось установить первопричину «трагедии». Ею оказался троян SteamBurglar. Пока ничего не подозревающий юзер разглядывал в окне чата дорогой предмет, предложенный ему для обмена на какую-нибудь посредственную безделушку, трой находил в памяти компьютера процесс Steam и вытаскивал из него информацию об имеющейся в арсенале пользователя амуниции. Затем по этому списку выполнялся поиск с использованием ключевых слов rare, mythical, immortal, legendary, arcana и key (список ключевиков можно настраивать в админке троя) — таким образом SteamBurglar выбирал наиболее ценный инвентарь. Найденное барахло троян тут же выставлял на продажу через Steam по весьма выгодной цене. Вырученные деньги поступали на счет вирмейкера.
Сам троян и билдеры для него успешно предлагались на читерских форумах, причем трой позволял воровать предметы не только из CS:GO, но и из других игрушек: Dota 2, Team Fortress 2, Warframe.
Так выглядел билдер SteamBurglar
Для рассылки сообщений пользователи SteamBurglar применяли сторонние инструменты, но в декабре 2014-го автор выкатил обновление троя, позволявшее спамить в чаты прямо из приложения-админки. В ответ на возмущенные сообщения пострадавших игроков администрация Steam поначалу отмораживалась, предлагая обокраденным юзерам самостоятельно искать на страницах маркета аккаунты злодеев и жаловаться на них в саппорт. Однако под давлением общественности они все-таки изменили процедуру продажи игровых предметов, после чего для совершения подобных сделок потребовалось обязательное подтверждение по электронной почте.
SteamLogger
Осенью того же года по Сети начал разгуливать новый троян, SteamLogger.1, с тем же самым функциональным назначением — кража предметов у игроков Dota 2, CS:GO и Team Fortress 2. Но устроен он был гораздо более замысловато.
Дроппер трояна распространялся с помощью линков на читерских сайтах, в социальных сетях и в личных сообщениях. Потенциальной жертве предлагалось купить по дешевке или обменять игровой инвентарь, а подробности сделки она должна была получить по ссылке, при нажатии на которую на компьютер скачивался дроппер троя.
Внутри дроппера в зашифрованном виде хранился сам троян и его сервисный модуль. При запуске исполняемого файла образ дроппера загружался в память, его содержимое расшифровывалось и сохранялось на диск: сервисный модуль в папку %TEMP% под именем update.exe, а тело трояна подгружалось в память с помощью метода Assembly.Load(). Сразу же после этого SteamLogger.1 скачивал с управляющего сервера и показывал на экране картинку с изображением якобы предлагаемого к продаже товара, чтобы усыпить бдительность жертвы.
Вот такую картинку показывал пользователю троян SteamLogger.1
Дальше к работе подключался сервисный модуль. Он искал в папке ProgramFiles(x86)\Common Files\ подпапку с именем Steam (если не находил — создавал ее), сохранял в нее файл SteamService.exe, присваивал ему атрибуты «системный» и «скрытый», после чего запускал его, предварительно зарегистрировав это приложение в отвечающей за автозагрузку ветви реестра.
Собрав информацию о зараженной машине (включая серийный номер системного раздела, версию и разрядность ОС), сервисный модуль отсылал ее на управляющий сервер. При этом использовались прокси, адреса которых хранятся в самой программе. Основное предназначение сервисного модуля — обновление трояна.
Основной модуль SteamLogger.1 висит в памяти зараженной машины, внимательно отслеживает состояние процесса игрового клиента и ждет, пока пользователь авторизуется в Steam. Как только это произойдет, трой перехватывает используемые для входа в учетку данные, определяет, используются ли защитные механизмы SteamGuard, steam-id, security token, и передает все эти сведения на управляющий сервер. В ответ он получает список аккаунтов, на которые можно передать украденные у жертвы игровые предметы, и необходимые для совершения «сделки» параметры.
Затем троян ищет в папке steam-клиента файлы, в именах которых содержится строка ssfn*, собирает содержимое подпапки config, после чего формирует из полученных файлов большой массив, дописывает в его конец данные об аккаунте жертвы и шифрует все это с помощью Base64. Результат отсылается на управляющий сервер. Наконец, SteamLogger.1 проверяет, включена ли в клиенте Steam функция автоматического входа в аккаунт, и, если нет, запускает кейлоггер, который записывает и передает злодеям коды нажимаемых на зараженной машине клавиш. Любопытно, что кейлоггер не сохраняет результат своей работы в файл на локальной машине, а формирует специальный POST-запрос и передает его на управляющий сервер с интервалом в пятнадцать секунд. Этот запрос обрабатывается и логируется уже на стороне сервера.
Предметы, которые троян планирует украсть, он ищет в инвентаре жертвы по ключевым словам Mythical, Legendary, Arcana, Immortal, Container и Supply Crate. При этом SteamLogger.1 проверяет, не выставил ли сам пользователь что-либо из списка на продажу, и, если это так, снимает с продажи интересующий его предмет. После чего все найденные предметы передаются на один из аккаунтов Steam, реквизиты которых трой получил ранее с управляющего сервера. Для перепродажи краденого ботоводы создали несколько интернет-магазинов.
Видите выставленные на продажу игровые предметы? На самом деле они краденые!
Malware as a service
С тех пор новые вредоносы, предназначенные для угона аккаунтов Steam и различного игрового инвентаря, стали появляться регулярно. Распространению способствовало и появление троев, продававшихся как услуга — по принципу malware as a service. Несколько таких стилеров активно распространялись прошлым летом. Автор этой малвари, известный под ником Faker, сдавал троев в аренду по цене от 10 до 25 тысяч рублей в месяц, и, судя по всему, они пользовались спросом. И об этих вредоносах, и об их авторе «Хакер» уже , повторяться смысла нет. Но следует, безусловно, отметить хитроумный принцип, использовавшийся одним из этих троянов.
Стоило пользователю зараженной машины выставить для обмена какой-либо игровой предмет на одной из предназначенных для этого площадок, трой дожидался запроса от желающего обменять артефакт пользователя, отклонял его, а затем использовал аватар и ник игрока, чтобы направить жертве аналогичное предложение, но уже от имени учетной записи злоумышленника. При обмене инвентаря на официальном портале steamcommunity.com троян с помощью веб-инжекта менял изображения игровых предметов. Игроку казалось, что он приобретает дорогой и очень ценный артефакт, в то время как на самом деле он получал дешевую «безделушку». Судя по тому, что объявление о продаже троя на одном из форумов до сих пор активно, бизнес по аренде вредоносов успешно развивается и по сей день.
Трояны для хищения игровых предметов у пользователей Steam успешно продаются и сегодня
Выводы
Подводя итог, можно сказать, что весь существующий ныне ассортимент «игровых троев» условно делится на несколько категорий. Наиболее простые из них крадут файлы из клиента Steam либо воруют учетные данные пользователя — для этого применяется кейлоггинг и поддельные формы авторизации. Продвинутая малварь использует анализаторы трафика и веб-инжекты для перехвата критичных параметров безопасности и подмены игровых предметов при совершении онлайновых сделок обмена или купли-продажи. А в будущем вирмейкеры наверняка придумают какие-нибудь новые методы отъема ценного виртуального имущества у любителей игр: там, где речь идет о деньгах, без этого не обходится никогда.