За поклонниками онлайновых игр охотится особый вариант криптолокера, и история эта куда серьёзнее, чем кажется на первый взгляд. Похоже, злоумышленники нашли отличный способ достать тех, кто готов платить, лишь бы получить назад свои данные.
Долгое проникновение
По словам исследователей, обнаруживших новый вид вредоносной программы, она использует довольно сложный метод заражения. Точкой входа является некий скомпрометированный сайт, который перенаправляет пользователей с помощью вредоносного Flash-клипа на другой сайт, содержащий набор эксплойта Angler, который, в свою очередь, подсаживает вариант криптолокера.
Заплатите и играйте: вариант криптолокера преследует геймеров #cryptolocker
Tweet
Первый упомянутый сайт работает на WordPress и, возможно, был ранее скомпрометирован каким-то из эксплойтов WP, которые широко распространились. WordPress является бесплатной CMS с модульным дизайном, популярной как у отдельных пользователей, так и у предприятий. Не все плагины WP безопасны, поэтому из-за её популярности хакеры довольно часто взламывают сайты на WordPress.
Следом на очереди набор Angler. По-видимому, злоумышленники предпочли готовый, с полочки, инструмент, чтобы быть уверенными в успехе. Angler также известен своей неуловимостью. Кажется, преступники сделали всё возможное, чтобы избежать риска… Или просто не были технически подкованы?
На самом деле похоже, что они знают своё дело достаточно хорошо, чтобы использовать нетрадиционные методы уклонения: злоумышленники отказываются от типичных перенаправлений iFrame и вместо этого используют Flash-файл, завернутый в невидимый тег div, вероятно, чтобы избежать обнаружения, передает Threatpost. Далее вредоносная программа осуществляет ряд проверок на предмет наличия виртуальных машин или антивируса, прежде чем установить эксплойт Flash для CVE-2015-0311 или эксплойт Internet Explorer CVE-2013-2551.
Они заплатят
Сам криптолокер весьма типичен по поведению: он шифрует файлы, затем отображает баннеры с требованием выкупа — в биткойнах через Tor. Опять же, злоумышленники стараются избежать риска выдать свою инфраструктуру.
Интерес здесь представляет список файлов-мишеней: в нем присутствуют расширения файлов, связанные с более чем полусотней онлайновых и однопользовательских игр класса ААА, распространяемых через интернет-системы поставки контента. Call of Duty, Minecraft, Half-Life 2, Elder Scrolls series (Oblivion, Skyrim, Elder Scrolls Online), Assassin’s Creed, World of Warcraft, Day Z и ряд других игр оказались в перечне целей вместе с игровой платформой Valve Steam.
Криптолокер шифрует основные файлы, загруженный контент и некоторые трудно- или даже вовсе невосстановимые файлы вроде модов, сохраненных игр, профилей пользователя и т.п. — всё то, что хардкорным геймерам дорого, и они, вероятно, даже будут более готовы раскошелиться, чем прочие жертвы.
Где деньги лежат
Игровая индустрия приучила игроков платить не только за подписку, но и за дополнительный загружаемый контент, а также за бонусные игровые предметы, которые позволяют добиться прогресса быстрее. Последняя тенденция — относительно новое веяние, но оно ясно указывает на то, что игроки придают этим предметам реальную практическую ценность, конвертируемую в реальные деньги.
А этого как раз злоумышленникам и надо. По-видимому, авторы варианта «игрового криптолокера» хорошо выбирали цель удара: для хардкорных геймеров игровой контент важен, особенно если его трудно восстановить. Таким образом, вероятность оплаты уже становится выше средней.
Авторы нового «игрового» #cryptolocker знали, куда нацелить удар.
Tweet
Но этого допускать нельзя. Каждый попавший к преступникам биткойн делает их не только богаче, но и наглее, так как они видят отдачу от усилий и хороший повод не останавливаться на достигнутом.
Геймерам рекомендуется регулярно обновлять неигровое программное обеспечение, особенно наиболее проблемное, такое как Flash, Java, Microsoft Word и Office и др., и, конечно, использовать высококачественное защитное решение и резервное копирование своих уникальных игровых данных на внешних накопителях, которые не используются при серфинге в интернете.