چطور تروجانها اکانتهای گیمینگ را سرقت میکنند؟
تاریخ انتشار
سه شنبه ۱۰ تير ۱۳۹۹ ساعت ۱۸:۲۵
آیتیمن- خوشبختانه، جلوگیری از تهدیدها، در صورتی که نسبت به آنها آگاهی داشته باشید، کار آسانی است. اما در این مطلب با شما از مشکل دیگری سخن گفتهایم؛ مشکلی که باید از آن خبر داشته باشید و در برابر آن از خود دفاع کنید: دزدان گذرواژه یا به عبارت دیگر سارقان رمز عبور.
وقتی راهکارهای امنیتی ما دزدان گذرواژه (Password Stealers) یا سارقان رمز عبور را گیر میاندازد معمولاً در قالب Trojan-PSW شناسایی میشوند. این نوع تروجانها، برای سرقت اکانتها (یا ترکیبی از نام کاربری/گذرواژه یا توکنهای سشن) به کار میروند.
شاید تا به حال اسم سارقان استیم به گوشتان خورده باشد؛ تروجانهایی که در محبوبترین سرویس گیمینگ مشغول سرقت اکانتند. اما پلتفرمهای دیگری مانند Battle.net، Origin، Uplay وEpic Games Store نیز میتواند مورد هجوم مجرمان سایبری قرار گیرد. همه پلتفرمهای مذکور مخاطبانی چند میلیون دلاری دارند؛ پس طبیعی است که مهاجمان به چنین پلتفرمهایی علاقه نشان دهند و دزد گذرواژه را به جان آنها بیندازند.
دزد گذرواژه چیست؟
دزدان گذرواژه نوعی بدافزارند که کارشان سرقت اطلاعات اکانت است. در اصل، چیزی شبیه به تروجان بانکی هستند اما به جای قطع کردن یا جایگزین کردن دادههای واردشده معمولاً اطلاعاتی را که از پیش در کامپیوتر ذخیره شده است سرقت میکنند: نامهای کاربری و رمزهای عبورِ ذخیرهشده در مرورگر، کوکیها و سایر فایلهای روی هارد درایوِ دستگاه آلوده.
افزون بر این، برخیاوقات اکانتهای گیم فقط یکی از اهداف دزدان هستند. برخی هم عاشق اطلاعات بانکی آنلاین و محرمانه شما هستند. دزدها میتوانند به روشهای مختلف اکانتها را سرقت کنند. برای مثال، تروجان دزد Kpot یا همان Trojan-PSW.Win32.Kpot را در نظر بگیرید. این تروجان عمدتاً از طریق اسپم ایمیل با پیوستهایی که از آسیبپذیریها استفاده میکنند (برای مثال در مایکروسافت آفیس) برای دانلود بدافزار اصلی روی کامپیوتر توزیع میشود.
در مرحله بعد، دزد یا همان استیلر، اطلاعات مربوط به برنامههای نصبشده روی کامپیوتر را به سرور فرمان و کنترل انتقال میدهد و صبر میکند تا فرمانها کار خود را پیش ببرند. از میان فرمانهایی که به کار گرفته میشود، چند فرمان هست که برای سرقت کوکیها، اکانتهای تلگرام و اسکایپ و موارد دیگر استفاده میشوند. اینها میتوانند فایلها را با افزونه config. از فولدر %APPDATA%Battle.net سرقت کنند؛ فولدری که به خود Battle.net یعنی اپ گیملانچرِ Blizzard وصل است. این فایلها (از میان تمامی موارد دیگر) حاوی توکن سشن بازیکن هستند- بدینمعنا که مجرمان سایبری نامکاربری و گذرواژه واقعی را دریافت نمیکنند؛ اما میتوانند از توکن به عنوان پوشش استفاده کرده و خود را جای کاربر واقعی جا بزنند. میپرسید چرا؟ جواب ساده است: آنها بسیار سریع میتوانند تمامی آیتمهای درونگیمیِ قربانی را بفروشند و برخیاوقات پول حسابیای هم از این طریق پارو میکنند.
این سناریوی امکانپذیری در عناوین مختلف Blizzard از جمله World of Warcraft و Diablo 3 است. بدافزار دیگری که Uplay (اپ گیملانچر Ubisoft ) را مورد هدف قرار داده Okasidis یا Trojan-Banker.MSIL.Evital.gen نام دارد. این بدافزار در خصوص اکانتهای گیمینگ درست مانند تروجان Kpot عمل میکند با این تفاوت که این دو فایل بخصوص را میدزدد:
%LOCALAPPDATA%Ubisoft Game Launcherusers.dat
%LOCALAPPDATA%Ubisoft Game Launchersettings.yml
%LOCALAPPDATA%Ubisoft Game Launchersettings.yml
Uplay همچنین خوراک بدافزاری شناساییشده با نام HEUR:Trojan.Win32.Generic است؛ بدافزاری که از فولدر/گیملانچرِ %LOCALAPPDATA%Ubisoft تمامی فایلها مثل جاروبرقی را بالا میکشد. تازه، Uplay، Origin و Battle.net همگی طعمهی چرب و نرمی برای بدافزارBetaBot با نام دیگر Trojan.Win32.Neurevtهستند. اما این تروجان به طور متفاوتی وارد عملیات میشود. اگر کاربر از URL حاوی یک سری کلیدواژه مخصوص ، مثلا هر آدرسی با واژههای uplay یا origin ، دیدن کند، بدافزار شروع میکند به جمعآوری داده از فرمهای روی این صفحات. این یعنی نامهای کاربری و رمزهای عبور اکانت که روی این صفحات وارد شده است دو دستی تقدیم مهاجمان میشود. در هر سه مورد، کاربر بعید است متوجه چیز مشکوکی شود؛ زیرا تروجان به هیچوجه روی کامپیوتر خود را نشان نداده هیچ پنجرهای با درخواست نمایش نمیدهد و فقط مخفیانه فایلها یا دادهها را میدزدد.
چطور در امان بمانیم؟
در اصل، از اکانتهای گیمینگ باید درست مانند هر چیز دیگری محافظت شود. برای محافظت از آنها نکات امنیتی زیر را به شما توصیه میکنیم:
● با احراز هویت دوعاملی از اکانت خود محافظت کنید. Steam مجهز به Steam Guard است و Battle.net نیز مجهز به Blizzard Authenticator. Epic Games Store هم دو گزینه اپ احراز هویتگر و احراز هویت با متن یا ایمیل را در اختیارتان قرار میدهد. اگر اکانتتان به سرویس احراز هویت دوعاملی مجهز باشد، آنوقت مجرمان سایبری برای نفوذ به سیستم به چیزی بیش از صرفِ نام کاربری و گذرواژه نیاز خواهند داشت.
● مودها را از سایتهای مشکوک یا نرمافزارهای پایرتشده دانلود نکنید. مهاجمان بخوبی از عطش مردم برای چیزهای رایگان خبر دارند و از طریق بدافزاری مخفیشده در کرکها، چیتها و مودها آن را اکسپلویت میکنند.
● از راهکار امنیتی مطمئنی استفاده کنید.
● وقتی در حال بازی کردن هستید، آنتیویروس خود را خاموش نکنید. اگر این کار را کنید، دزد گذرواژه ممکن است ناگهان دست به کار شود.
● مودها را از سایتهای مشکوک یا نرمافزارهای پایرتشده دانلود نکنید. مهاجمان بخوبی از عطش مردم برای چیزهای رایگان خبر دارند و از طریق بدافزاری مخفیشده در کرکها، چیتها و مودها آن را اکسپلویت میکنند.
● از راهکار امنیتی مطمئنی استفاده کنید.
● وقتی در حال بازی کردن هستید، آنتیویروس خود را خاموش نکنید. اگر این کار را کنید، دزد گذرواژه ممکن است ناگهان دست به کار شود.
مرجع : کسپرسکی آنلاین