Опубликовано 01 ноября 2014, 13:43

Очередной троян обкрадывает пользователей Steam

В сентябре компания «Доктор Веб» уже сообщала о появлении троянца Trojan.SteamBurglar.1, воровавшего ценные игровые предметы у пользователей Dota 2. По всей видимости, злоумышленники решили не останавливаться на достигнутом — вирусные аналитики исследовали образец новой вредоносной программы с очень похожими функциональными возможностями, получившей наименование Trojan.SteamLogger.1. Эта программа может нанести серьезный ущерб поклонникам сразу нескольких популярных многопользовательских игр.

Очередной троян обкрадывает пользователей Steam

Данный троянец предназначен для похищения ценных артефактов у пользователей игр Dota 2, Counter-Strike: Global Offensive и Team Fortress 2. Также он обладает функциями кейлоггера, то есть способен фиксировать и передавать злоумышленникам нажатия клавиш на инфицированном компьютере. Можно предположить, что, как и его предшественник, Trojan.SteamLogger.1 распространяется на специализированных форумах или в чате Steam под видом предложения о продаже или обмене игровых предметов.

Вредоносная программа состоит из трех функциональных модулей: первый из них — дроппер — расшифровывает хранящиеся внутри него основной и сервисный модули, при этом сервисный модуль он сохраняет во временную папку под именем Update.exe и запускает его на исполнение, а основной загружает в память зараженного компьютера с использованием одного из системных методов. Затем сервисный модуль скачивает с сайта злоумышленников и сохраняет во временную папку картинку, которую сразу же выводит на экран инфицированного ПК.

После того, как основной модуль троянца Trojan.SteamLogger.1 будет запущен и инициализирован, он ищет в памяти зараженного компьютера процесс с именем Steam и проверяет, вошел ли пользователь в свою учетную запись. Если нет, вредоносная программа ожидает момента авторизации игрока, затем извлекает информацию об аккаунте пользователя Steam (наличие SteamGuard, steam-id, security token) и передает эти данные злоумышленникам. В ответ Trojan.SteamLogger.1 получает список учетных записей, на которые могут быть переданы игровые предметы с аккаунта жертвы. Всю собранную информацию троянец отправляет на сервер злоумышленников, затем проверяет, включена ли в настройках Steam автоматическая авторизация, и, если она отключена, в отдельном потоке запускает кейлоггер — собранные с его помощью данные пересылаются на сервер киберпреступников с интервалом в 15 секунд.

Для поиска инвентаря и ценных игровых предметов Trojan.SteamLogger.1 использует фильтры по ключевым словам "Mythical", "Legendary", "Arcana", "Immortal", "DOTA_WearableType_Treasure_Key", "Container", "Supply Crate". То есть, вредоносная программа пытается похитить наиболее ценные игровые предметы, ключи от сундуков и сами сундуки. При этом Trojan.SteamLogger.1 внимательно следит за тем, не пытается ли игрок продать что-либо из виртуальных предметов самостоятельно, и в случае обнаружения такой попытки старается воспрепятствовать этому, автоматически снимая артефакты с продажи.

Trojan.SteamLogger.1 угрожает, прежде всего, пользователям игр Dota 2, Counter-Strike: Global Offensive и Team Fortress 2, однако этот троянец легко может быть модифицирован для хищения артефактов и инструментария для других игр. Все похищенные виртуальные предметы он пересылает на один из игровых аккаунтов киберпреступников, сведения о которых получает с управляющего сервера. Затем злоумышленники пытаются реализовать самую дешевую часть похищенного — ключи от сундуков из игры Dota 2 — с использованием специально созданного ими для этих целей интернет-магазина. Как вирусописатели реализуют остальные игровые предметы, на данный момент остается не до конца ясным.

Источник новости: Доктор Веб