Как трояны воруют аккаунты в игровых сервисах

Существуют трояны, которые воруют логины и пароли. В том числе от игровых сервисов вроде Origin, Battle.net или Uplay.

Существуют трояны, которые воруют логины и пароли. В том числе от игровых сервисов вроде Origin, Battle.net или Uplay

Мы часто рассказываем, какое количество угроз в онлайне существует для геймеров: и в пиратках трояны прячутся, и в модах, и в читах. И это не говоря уже про фишинг и многочисленные способы обмана при покупке или обмене внутриигровых предметов. Про беды с покупкой аккаунтов мы тоже недавно рассказывали. К счастью, все эти проблемы не так страшны, если вы о них знаете.

Но есть еще одна опасность, о которой нужно, во-первых, знать, а во-вторых, уметь от нее защищаться. И имя ей — стилеры (Password Stealer, наши защитные решения их детектируют обычно как Trojan-PSW.что-нибудь). Это такие специальные трояны, которые заточены под воровство аккаунтов — или в виде логинов с паролями, или в виде токенов сессии.

Мы уже писали про Steam-стилеры — трояны, которые воруют аккаунты в самом популярном игровом сервисе. Но подобных игровых сервисов много — Battle.net, Origin, Uplay, Epic Games Store и так далее. У них всех многомиллионные аудитории, вокруг всех крутятся немаленькие деньги, и злоумышленники, естественно, ими интересуются. Поэтому стилеры существуют и для этих магазинов.

Что такое Password Stealer и какие они бывают

Password Stealer — это зловред, который ворует данные учетных записей. В сущности, стилер очень похож на банковский троян, только вместо того чтобы перехватывать или подменять введенные данные, он ворует уже сохраненную на компьютере информацию. Например, логины и пароли, записанные в браузере, файлы cookies и просто какие-то файлы с жесткого диска зараженного устройства. Более того, бывает так, что воровать игровые аккаунты — просто одна из функций стилера, а пароль от онлайн-банка его интересует ничуть не меньше.

Работают стилеры по-разному. Например, есть злобный троян-стилер Kpot (также известный как Trojan-PSW.Win32.Kpot). Он распространяется в основном через почтовый спам с вложениями, которые, используя уязвимости (например, в Microsoft Office), загружают на компьютер сам зловред.

Дальше стилер передает на командный сервер информацию об установленных на компьютере программах и в ответ получает список дальнейших действий. Среди них, например, возможность воровать cookie-файлы, аккаунты Telegram и Skype, а также много чего еще.

Помимо прочего, Kpot умеет воровать файлы с расширением .config из папки %APPDATA%\Battle.net, которая, как несложно догадаться, имеет отношение к сервису Battle.net — фирменному лончеру для игр Blizzard. В этих файлах содержится токен сессии игрока. То есть собственно логин и пароль в руки злоумышленника не попадают, но с помощью токена он сможет некоторое время притворяться пользователем, у которого он этот токен украл.

Зачем это надо мошенникам? Очень просто: все ценные внутриигровые предметы они быстренько перепродадут, выручив с этого неплохие деньги. Такие предметы — и возможность их перепродать — есть, например, в World of Warcraft и в Diablo III.

Или, скажем, есть зловред, который целится в другой сервис — Uplay, фирменный лончер для игр Ubisoft. Этого зловреда зовут Okasidis, наши решения ловят его под общим вердиктом Trojan-Banker.MSIL.Evital.gen. В отношении воровства игровых аккаунтов он ведет себя точно так же, как троян Kpot, разве что ворует два конкретных файла — %LOCALAPPDATA%\Ubisoft Game Launcher\users.dat и %LOCALAPPDATA%\Ubisoft Game Launcher\settings.yml.

Тот же Uplay интересует и зловреда по имени Thief Stealer (детектируется под общим вердиктом — как HEUR:Trojan.Win32.Generic). Разве что этот, не стесняясь, тащит вообще все файлы из папки %LOCALAPPDATA%\Ubisoft Game Launcher\.

Также Uplay, Origin и Battle.net интересуют зловреда BetaBot (детектируется как Trojan.Win32.Neurevt). Но этот троян работает иначе: если пользователь посещает URL, содержащий определенные ключевые слова (например, любые адреса, в которых есть слова uplay или origin), зловред включает сбор данных из форм на этих страницах. Таким образом, введенные на таком сайте логин и пароль от аккаунта попадут злоумышленникам.

Во всех трех случаях пользователь, скорее всего, ничего не заметит — троян никак не выдает себя на компьютере, не выводит окон с требованиями, а просто тихонько ворует файлы или данные.

Как защититься от троянов, ворующих аккаунты в игровых сервисах

В принципе защищать аккаунты в игровых сервисах нужно так же, как и все остальное. В том числе и от стилеров. Следуйте советам ниже — и никакие троянские воры будут вам не страшны:

  • Защитите аккаунт при помощи двухфакторной аутентификации. У Steam есть Steam Guard, у Battle.net — Blizzard Authenticator, Epic Games Store предлагает выбор между аутентификацией через приложение-аутентификатор, SMS или почту. Если ваш аккаунт защищен таким способом, то украденных логина и пароля будет недостаточно для входа в него.
  • Не скачивайте моды с сомнительных сайтов и пиратки. Злоумышленники знают тягу людей к бесплатному и пользуются ей, поэтому в кряках, читах и модах нередко можно встретить зловредов.
  • Пользуйтесь надежным защитным решением. Например, Kaspersky Security Cloud всех этих стилеров ловит и не дает им воровать данные.
  • Не выключайте антивирус во время игры. Иначе получится так, что антивирус вы выключили, собрались залогиниться в сервис — и тут-то дремавший прежде стилер и украдет пароли. В том же Kaspersky Security Cloud есть специальный игровой режим, который не позволяет антивирусу сильно загружать машину во время игры. Поэтому на производительность и частоту кадров он не повлияет, а вот за безопасностью приглядит.
Советы