تروجانها چگونه اکانتهای گیمینگ را سرقت میکنند؟
ما اغلب از تهدیدهای آنلاینی که متوجه گیمرها میشود از جمله بدافزارهایی در کپیهای پایرتشده، مودها[1] و جعلها (فیشینگ و انواع اسکمها موقع خرید یا مبادلهی آیتمهای درونگیمی را که دیگر نگوییم) صحبت میکنیم. همین چند وقت پیش بود که نگاهی داشتیم بر مشکلاتی حین خرید اکانتها. خوشبختانه، جلوگیری از تهدیدها –در صورتیکه نسبت بدانها اطلاع داشته باشید- کار آسانی است. اما در این خبر با شما از مشکل دیگری سخن گفتهایم؛ مشکلی که باید از آن خبر داشته باشید و در برابر آن از خود دفاع کنید: سارقین رمزعبور. وقتی راهکارهای امنیتی ما آنها را گیر میاندازد معمولاً در قالب Trojan-PSW شناسایی میشوند. این نوع تروجانها، تروجانهایی هستند طراحیشده برای سرقت اکانتها (یا ترکیبی از نام کاربری/رمزعبور یا توکنهای سشن).
شاید تا به حال اسم سارقین استیم به گوشتان خورده باشد؛ تروجانهایی که در محبوبترین سرویس گیمینگ مشغول سرقت اکانتند. اما پلتفرمهای دیگری مانند Battle.net، Origin، Uplay وEpic Games Store نیز آن بیرون هست که میتواند مورد هجوم مجرمین سایبری قرار گیرد. همهی پلتفرمهای مذکور مخاطبینی چند میلیون دلاری دارند؛ پس طبیعی است که مهاجمین به چنین پلتفرمهایی علاقه نشان دهند و دزد رمزعبور را به جان آنها بیاندازند.
دزد رمزعبور چیست؟
دزدان رمزعبور[2] نوعی بدافزارند که کارشان سرقت اطلاعات اکانت است. در اصل، چیزی شبیه به تروجان بانکی هستند اما به جای قطع کردن یا جایگزین کردن دادههای واردشده معمولاً اطلاعاتی را که از پیش در کامپیوتر ذخیره شده است سرقت میکنند: نامهای کاربری و رمزهای عبورِ ذخیرهشده در مرورگر، کوکیها و سایر فایلهای روی هارد درایوِ دستگاه آلوده.
افزون بر این، برخیاوقات اکانتهای گیم فقط یکی از تارگتهای سارقینند- برخی هم عاشق اطلاعات بانکی آنلاین و محرمانهی شما هستند. دزدها میتوانند به روشهای مختلف اکانتها را سرقت کنند. برای مثال، تروجان دزد Kpot را در نظر بگیرید (یا همان Trojan-PSW.Win32.Kpot). این تروجان عمدتاً از طریق اسپم ایمیل با پیوستهایی که از آسیبپذیریها استفاده میکنند (برای مثال در مایکروسافت آفیس) برای دانلود بدافزار اصلی روی کامپیوتر توزیع میشود.
در مرحله بعد، دزد یا همان استیلر، اطلاعات مربوط به برنامههای نصبشده روی کامپیوتر را به سرور فرمان و کنترل انتقال میدهد و صبر میکند تا فرمانها کار خود را پیش ببرند. از میان فرمانهایی که به کار گرفته میشود، چندتایی فرمان هست که برای سرقت کوکیها، اکانتهای تلگرام و اسکایپ و موارد دیگر استفاده میشوند. اینها میتوانند فایلها را با افزونهی .config از فولدر %APPDATA%\Battle.net سرقت کنند؛ فولدری که (همانطور که ممکن است حدس زده باشید) به خود Battle.net یعنی اپ گیملانچرِ Blizzard وصل است. این فایلها (از میان تمامی موارد دیگر) حاوی توکن سشن بازیکن هستند- بدینمعنا که مجرمان سایبری نامکاربری و رمزعبور واقعی را دریافت نمیکنند اما میتوانند از توکن به عنوان پوشش استفاده کرده و خود را جای کاربر واقعی جا بزنند. میپرسید چرا؟ جواب ساده است: آنها بسیار سریع میتوانند تمامی آیتمهای درونگیمیِ قربانی را بفروشند (برخیاوقات پول حسابیای هم از این طریق پارو میکنند).
این سناریوی امکانپذیری در عناوین مختلف Blizzard از جمله World of Warcraft و Diablo 3 است. بدافزار دیگری که Uplay–اپ گیملانچر Ubisoft- را مورد هدف قرار داده است Okasidis نام دارد؛ البته راهکارهای ما آن را Trojan-Banker.MSIL.Evital.gen صدا میزنند. این بدافزار در خصوص اکانتهای گیمینگ درست مانند تروجان Kpot عمل میکند با این تفاوت که دو فایل بخصوص را میدزدد:
%LOCALAPPDATA%\Ubisoft Game Launcher\users.dat و %LOCALAPPDATA%\Ubisoft Game Launcher\settings.yml.
Uplay همچنین خوراک بدافزاری به نام Thief Stealer (شناساییشده با نام HEUR:Trojan.Win32.Generic) میباشد؛ بدافزاری که از فولدر/گیملانچرِ %LOCALAPPDATA%\Ubisoft تمامی فایلها مثل جاروبرقی را بالا میکشد. تازه، Uplay، Origin و Battle.net همگی طعمهی چرب و نرمیاند برای بدافزار BetaBot (شناساییشده به نام Trojan.Win32.Neurevt). اما این تروجان به طور متفاوتی وارد عملیات میشود. اگر کاربر از URL حاوی یک سری کلیدواژه مخصوص دیدن کند (بعنوان مثال هر آدرسی با واژههای uplay یا origin) این بدافزار شروع میکند به جمعآوری داده از فرمهای روی این صفحات. این یعنی نامهای کاربری و رمزهای عبور اکانت که روی این صفحات وارد شده است دو دستی تقدیم مهاجمین میشود. در هر سه مورد، کاربر بعید است متوجه چیز مشکوکی شود- تروجان به هیچوجه روی کامپیوتر خود را نشان نداده هیچ پنجرهای با درخواست نمایش نمیدهد و فقط مخفیانه فایلها و/یا دادهها را میدزدد.
چطور در امان بمانیم؟
در اصل، از اکانتهای گیمینگ باید درست مانند هر چیز دیگری محافظت شود. برای محافظت از آنها نکات امنیتی زیر را به شما توصیه میکنیم:
• با احراز هویت دوعاملی از اکانت خود محافظت کنید. Steam مجهز به Steam Guard است و Battle.net نیز مجهز به Blizzard Authenticator. Epic Games Store هم دو گزینه اپ احراز هویتگر و احراز هویت با متن یا ایمیل را در اختیارتان قرار میدهد. اگر اکانتتان به سرویس احراز هویت دوعاملی مجهز باشد، آنوقت مجرمان سایبری برای نفوذ به سیستم به چیزی بیش از صرفِ نام کاربری و رمزعبور نیاز خواهند داشت.
• مودها را از سایتهای مشکوک یا نرمافزارهای پایرتشده دانلود نکنید. مهاجمین بخوبی از عطش مردم برای چیزهای رایگان خبر دارند و از طریق بدافزاری مخفیشده در کرکها، چیتها و مودها آن را اکسپلویت میکنند.
• از راهکار امنیتی مطمئنی استفاده کنید. برای مثال Kaspersky Security Cloud تمامی استیلرها را میگیرد و نمیگذارد دست از پا خطا کنند.
• وقتی در حال بازی کردن هستید، آنتیویروس خود را خاموش نکنید. اگر این کار را کنید، دزد رمزعبور ممکن است ناگهان دست به کار شود. حالت گیمینگِ Kaspersky Security Cloud نمیگذارد آنتیویروس در طول بازی کردن شما منابع زیادی از سیستم را مصرف کند. این راهکار امنیتی هیچ تأثیری روی عملکرد یا نرخ فریم ندارد و همچنان تنها هدفش حفظ امنیت است.
[1] Mods
[2] Password stealers
منبع: کسپرسکی آنلاین
تنظیم: روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)
- ۹۹/۰۴/۱۰