Новий троянець краде цінні артефакти у користувачів Steam

Осінь 2014 року виявилась досить багатою на шкідливі програми, які загрожують шанувальникам комп’ютерних ігор: у вересні компанія «Доктор Веб» вже повідомляла про появу троянця Trojan.SteamBurglar.1, який крав цінні ігрові предмети у користувачів Dota 2. По всій видимості, зловмисники вирішили не зупинятися на досягнутому – вірусні аналітики «Доктор Веб» досліджували зразок нової шкідливої ​​програми з дуже схожими функціональними можливостями, що отримала найменування Trojan.SteamLogger.1. Ця програма може завдати серйозної шкоди шанувальникам відразу декількох популярних багатокористувацьких ігор.

Даний троянець призначений для викрадення цінних артефактів у користувачів ігр Dota 2, Counter-Strike: Global Offensive і Team Fortress 2. Також він володіє функціями кейлоггера, тобто здатний фіксувати і передавати зловмисникам натискання клавіш на інфікованому комп’ютері. Можна припустити, що, як і його попередник, Trojan.SteamLogger.1 поширюється на спеціалізованих форумах або в чаті Steam під виглядом пропозиції про продаж або обмін ігрових предметів.

Шкідлива програма складається з трьох функціональних модулів: перший з них – дроппер – розшифровує зберігаються всередині нього основний і сервісний модулі, при цьому сервісний модуль він зберігає в тимчасову папку під ім’ям Update.exe і запускає його на виконання, а основний завантажує в пам’ять зараженого комп’ютера з використанням одного із системних методів. Потім сервісний модуль викачує з сайту зловмисників і зберігає в тимчасову папку картинку, яку відразу ж виводить на екран інфікованого ПК:

Сервісний модуль перевіряє наявність папки Common Files \ Steam \ в директорії, використовуваної за замовчуванням для установки програм в Windows, і створює таку при її відсутності. Потім цей модуль копіює себе в дану папку під ім’ям SteamService.exe, встановлює для власного додатка атрибути «системний» і «прихований», після чого прописує шлях до вказаного файлу в галузі системного реєстру, що відповідає за автозавантаження програм, і запускає його на виконання. Слідом за цим сервісний модуль відправляє прямий запит на сайт зловмисників, а в разі неотримання відповідної команди «ОК» намагається встановити з’єднання з керуючим центром через один з проксі-серверів, список яких зберігається в тілі троянця. На командний сервер Trojan.SteamLogger.1 передає відомості про інфікованому комп’ютері, такі як версія операційної системи, її розрядність, а також унікальний ідентифікатор шкідливої ​​програми, що обчислюється на основі серійного номера жорсткого диска, на якому розташовується логічний розділ С. Крім цього Trojan.SteamLogger .1 може отримати від зловмисників команду на оновлення сервісного модуля.

Після того, як основний модуль троянця Trojan.SteamLogger.1 буде запущений і инициализирован, він шукає в пам’яті зараженого комп’ютера процес з ім’ям Steam і перевіряє, увійшов користувач до свого облікового запису. Якщо немає, шкідлива програма очікує моменту авторизації гравця, потім витягує інформацію про акаунт користувача Steam (наявність SteamGuard, steam-id, security token) і передає ці дані зловмисникам. У відповідь Trojan.SteamLogger.1 отримує список облікових записів, на які можуть бути передані ігрові предмети з аккаунта жертви. Всю зібрану інформацію троянець відправляє на сервер зловмисників, потім перевіряє, чи включена в настройках Steam автоматичну авторизацію і, якщо вона відключена, в окремому потоці запускає кейлоггер – зібрані з його допомогою дані пересилаються на сервер кіберзлочинців з інтервалом в 15 секунд.

Для пошуку інвентарю та цінних ігрових предметів Trojan.SteamLogger.1 використовує фільтри за ключовими словами "Mythical", "Legendary", "Arcana", "Immortal", "DOTA_WearableType_Treasure_Key", "Container", "Supply Crate". Тобто, шкідлива програма намагається викрасти найбільш цінні ігрові предмети, ключі від скринь і самі скрині. При цьому Trojan.SteamLogger.1 уважно стежить за тим, чи не намагається гравець продати що-небудь з віртуальних предметів самостійно, і в разі виявлення такої спроби намагається перешкодити цьому, автоматично знімаючи артефакти з продажу.

Trojan.SteamLogger.1 загрожує, перш за все, користувачам ігор Dota 2, Counter-Strike: Global Offensive і Team Fortress 2, проте цей троянець легко може бути модифікований для розкрадання артефактів і інструментарію для інших ігор. Всі викрадені віртуальні предмети він пересилає на один з ігрових акаунтів кіберзлочинців, відомості про яких отримує з керуючого сервера. Потім зловмисники намагаються реалізувати найдешевшу частину викраденого – ключі від скринь з гри Dota 2 – з використанням спеціально створеного ними для цих цілей інтернет-магазину. Як вирусописатели реалізують інші ігрові предмети, на даний момент залишається не до кінця зрозумілим.

Сигнатура троянця Trojan.SteamLogger.1 додана в вірусні бази Dr.Web, тому користувачі антивірусних програм виробництва компанії «Доктор Веб» надійно захищені від цієї загрози.

Ссылка на основную публикацию