Comodo AV Labs identifica una estafa de phishing dirigida a los jugadores

Tiempo de leer: 6 minutos

Estafa de phishing dirigida a los jugadores Colaboradores: Ionel PomanaKevin Judge
Los videojuegos han jugado un papel importante en la historia de las computadoras y son una razón importante para su popularidad como producto de consumo. Las familias tenían jugadores de videojuegos en sus hogares mucho antes de que tuvieran computadoras personales. La capacidad de proporcionar sitios web que replican más estrechamente la experiencia del software independiente ha mejorado drásticamente en los últimos años, por lo que no sorprende que sitios web de juegos en línea También han crecido.

Según ebizmba.com, el mejor sitio web de juegos es ign.com con la asombrosa cantidad de 20 millones de visitantes mensuales. De hecho, todos los sitios en su lista de los 15 principales superan los 1.5 millones de visitantes por mes. Tampoco sorprende que los piratas informáticos criminales estén intentando explotar su popularidad para los esquemas nefastos.

General

Los objetivos principales de tales esquemas son los juegos que se entregan a través de Steam, una popular plataforma de entrega de juegos. Estos juegos se pueden jugar fuera de línea o en línea, con o contra otros jugadores humanos. Desafortunadamente, los jugadores en línea también pueden tener la compañía de "jugadores" que no conocen: phishers criminales y escritores de malware.

Algunos juegos tienen los llamados "elementos en el juego" que los jugadores usan para mejorar la experiencia de juego. Estos artículos se compran durante el juego con dinero real y su precio puede variar desde unos pocos centavos hasta varios cientos de dólares. Los jugadores los usan en el juego, los intercambian por otros artículos o los venden a otros jugadores en un "Mercado Comunitario".

Esto significa que una cuenta de jugador puede ser un gran premio si se ve comprometida por estafadores.

El malware que intenta comprometer las cuentas de juego no es algo nuevo, pero Comodo Antivirus Labs ha identificado un nuevo enfoque que los delincuentes están utilizando para secuestrar las cuentas de los juegos entregados por Steam. Este artículo y la siguiente información se proporcionan para que los jugadores sean conscientes de tales amenazas y, con suerte, las eviten.

El mensaje de phishing

El mensaje de phishing Todo comienza con un mensaje recibido de un individuo desconocido a través del sistema de mensajería del juego. Se le pide al usuario, por varias razones, que siga un hipervínculo.

El objetivo principal del hacker es obtener las credenciales de juego en línea del jugador.

El hipervínculo lleva al usuario a un sitio que se asemeja a un sitio web legítimo, pero de hecho es una página de phishing diseñada por los hackers. En nuestro caso, el nombre de dominio vinculado es muy similar a un sitio legítimo de terceros para intercambiar artículos de juegos, pero con solo dos letras cambiadas en el nombre de dominio.

El usuario puede confundirlo fácilmente con el conocido sitio legítimo.

Los sitios de phishing

Una vez que se abre el enlace, muestra una copia del sitio comercial legítimo con una oferta comercial muy atractiva y rentable. Consulte la impresión de pantalla a continuación:

Los sitios de phishing
En el sitio web comercial legítimo, se puede responder a una oferta comercial iniciando sesión con su cuenta de juego utilizando el protocolo OpenID. Cuando un usuario desea iniciar sesión, se lo redirige al sitio web del proveedor del juego, donde inicia sesión y confirma que también desea iniciar sesión en el sitio web de terceros.

Luego es redirigido de nuevo al sitio web de negociación donde ahora está conectado y puede iniciar o responder a cualquier operación que desee. Sin embargo, en el sitio web de phishing La situación es un poco diferente.

sitio web de phishing Una vez que el jugador presiona el botón de inicio de sesión, no se lo redirige al sitio web del proveedor del juego, sino a una página muy similar a la del proveedor en el mismo dominio, donde se le pide al usuario que ingrese las credenciales de su cuenta.

Una pista de que este no es un sitio legítimo es que SSL no está habilitado Cada vez que se encuentre en un sitio web que le pida que ingrese información personal, no lo haga a menos que haya confirmado que la línea de dirección dice "https"En lugar de solo" http "y aparece un icono de candado. Todo negocio en línea legítimo permite SSL porque protege a sus usuarios con una comunicación segura.

En este caso, cuando se envían los datos de usuario y contraseña, no se realiza ninguna acción de inicio de sesión. En cambio, las credenciales enviadas se envían a los delincuentes que elaboraron el sitio web de phishing.

Fase II de la estafa

Fase II de la estafa Muchos similares estafa de phishings, como para los usuarios del banco, se detendría aquí con el robo de las credenciales de inicio de sesión del usuario. Desafortunadamente, esta estafa va más allá.

Después de que se envían y roban las credenciales, una ventana emergente informa al usuario que se debe habilitar un "protector de juego" en el sistema informático para poder iniciar sesión. El verdadero "Steam Guard" es un conjunto de medidas de seguridad (incluida la autenticación de dos factores) implementadas por el proveedor del juego para evitar la toma de cuentas y el robo de credenciales.

En este caso, los delincuentes están atrayendo al usuario para que ejecute una aplicación maliciosa, llamada "Steam Activation Application.exe". El sitio web de phishing lo descargará tan pronto como se muestre la ventana emergente.

Como se ve a continuación, la aplicación maliciosa no está alojada en el dominio respectivo, sino en Google Drive.

fuente de descarga
Cuando se ejecuta, la aplicación lee de la clave del registro la ruta donde se encuentra el cliente Steam.
HKEY_LOCAL_MACHINESoftwareValveSteamInstallPath

Después de leer la ubicación, comienza a buscar todos los archivos cuyo nombre comienza con la cadena "ssfn".

ubicación de lectura de dbg
Cuando se encuentra un archivo que comienza con "ssfn", el contenido se lee y los datos binarios se convierten en memoria en una representación hexadecimal de texto plano.

06_dbg_search_ssfn

07_mem_convertir

Esto se hace para permitir que la aplicación troyana robe el archivo enviándolo a través de un método POST al servidor web ubicado en 82.146.53.11.

08_dbg_send
Si el envío fue exitoso, la aplicación muestra un mensaje que dice "¡Ahora tiene acceso a su cuenta de Steam desde esta computadora!", De lo contrario, muestra un mensaje de que se ha producido un error:
Se produjo un error al activar la cuenta (error de lectura del disco)

09_msg_fail_success
Después de mostrar un mensaje de éxito o error, el troyano ejecuta cmd.exe con el parámetro "del" para eliminarse. De esta manera, intenta eliminar sus rastros del sistema para que el usuario no sospeche de ninguna actividad cuestionable.

10_dbg_shellejecutar
¿Cuál es el propósito de robar archivos "ssfn *"?
Estos archivos contienen datos de la cuenta Steam y datos de autenticación de dos factores. Cuando el archivo se coloca en la carpeta de Steam en otro sistema, ya no se requerirá un token de autenticación de dos factores, cualquier persona que use el archivo respectivo tendrá acceso a la cuenta desde un archivo con acceso completo.

De esta manera, se puede acceder y jugar a los juegos, los artículos del juego (algunos que pueden ser muy caros) robados o intercambiados por casj, el historial de transacciones visto o incluso los detalles de inicio de sesión de la cuenta y la dirección de correo electrónico se pueden cambiar para que el propietario inicial ya no podrá usar la cuenta ni incluso recuperarla.

Cómo evitar tales adquisiciones de cuentas

El siguiente consejo se aplica a esta estafa, pero también a la mayoría de las variaciones de estafas de phishing:

La vigilancia es la mejor defensa:
No haga clic en ningún enlace recibido de extraños o incluso en enlaces sospechosos de amigos que puedan ser víctimas de secuestradores. Asegúrese de que cualquier proceso de inicio de sesión que realice se realice en Sitios web habilitados para SSL vía protocolo https, sitios web que demuestran su identidad de esta manera. Verifique dos veces los nombres de dominio por cualquier desajuste sospechoso.
Utilizar DNS seguro servicio:
Cualquier sistema debe usar un servicio DNS seguro como DNS seguro de Comodo eso te avisará en caso de intentos de phishing.
Utilice un paquete de seguridad robusto con un Firewall y avanzado Protección de malware:
Asegúrate de haberlo instalado Comodo Internet Security con el fin de ser protegido del malware eso podría llegar a su sistema.

Binario analizado

SHA1: 339802931b39b382d5ed86a8507edca1730d03b6
MD5: b205e685886deed9f7e987e1a7af4ab9
Detección: TrojWare.Win32.Magania.STM

Recursos Relacionados:

PRUEBE LA SEGURIDAD DE SU CORREO ELECTRÓNICO OBTENGA SU TARJETA DE SEGURIDAD INSTANTÁNEA GRATIS Fuente: https://blog.comodo.com/comodo-news/comodo-av-labs-warn-phishing-scam-targeting-gamers/

Inteligencia de datos generativa

Comodo AV Labs identifica estafadores de phishing dirigidos a jugadores

General

El mensaje de phishing

Los sitios de phishing

Fase II de la estafa

Cómo evitar tales adquisiciones de cuentas

Binario analizado

¡El FTSE alcanza otro récord! – Blog de operaciones de cambio de Orbex

La OPEP deja sin cambios el pronóstico de crecimiento de la demanda mundial de petróleo en su último informe mensual | Forexlive

Información más reciente

Análisis técnico USDJPY: todos los ojos puestos en las cifras de inflación de EE. UU. | Forexlive

El IPC subyacente mensual de EE. UU. se desacelerará a un ritmo del 0.3% – TD Securities

¿Qué hace que un casino en línea sea confiable? Perspectivas de la escena del juego en Malasia

Coinbase enfrenta una interrupción en todo el sistema y los usuarios quedan en la oscuridad

Solana y Cardano: precio mínimo semanal de Solana de 137.82 dólares

Solana y Cardano: precio mínimo semanal de Solana de 137.82 dólares