Мы часто рассказываем, какое количество угроз в онлайне существует для геймеров: и в пиратках трояны прячутся, и в модах, и в читах. И это не говоря уже про фишинг и многочисленные способы обмана при покупке или обмене внутриигровых предметов. Про беды с покупкой аккаунтов мы тоже недавно рассказывали. К счастью, все эти проблемы не так страшны, если вы о них знаете.
Но есть еще одна опасность, о которой нужно, во-первых, знать, а во-вторых, уметь от нее защищаться. И имя ей — стилеры (Password Stealer, наши защитные решения их детектируют обычно как Trojan-PSW.что-нибудь). Это такие специальные трояны, которые заточены под воровство аккаунтов — или в виде логинов с паролями, или в виде токенов сессии.
Мы уже писали про Steam-стилеры — трояны, которые воруют аккаунты в самом популярном игровом сервисе. Но подобных игровых сервисов много — Battle.net, Origin, Uplay, Epic Games Store и так далее. У них всех многомиллионные аудитории, вокруг всех крутятся немаленькие деньги, и злоумышленники, естественно, ими интересуются. Поэтому стилеры существуют и для этих магазинов.
Что такое Password Stealer и какие они бывают
Password Stealer — это зловред, который ворует данные учетных записей. В сущности, стилер очень похож на банковский троян, только вместо того чтобы перехватывать или подменять введенные данные, он ворует уже сохраненную на компьютере информацию. Например, логины и пароли, записанные в браузере, файлы cookies и просто какие-то файлы с жесткого диска зараженного устройства. Более того, бывает так, что воровать игровые аккаунты — просто одна из функций стилера, а пароль от онлайн-банка его интересует ничуть не меньше.
Работают стилеры по-разному. Например, есть злобный троян-стилер Kpot (также известный как Trojan-PSW.Win32.Kpot). Он распространяется в основном через почтовый спам с вложениями, которые, используя уязвимости (например, в Microsoft Office), загружают на компьютер сам зловред.
Дальше стилер передает на командный сервер информацию об установленных на компьютере программах и в ответ получает список дальнейших действий. Среди них, например, возможность воровать cookie-файлы, аккаунты Telegram и Skype, а также много чего еще.
Помимо прочего, Kpot умеет воровать файлы с расширением .config из папки %APPDATA%Battle.net, которая, как несложно догадаться, имеет отношение к сервису Battle.net — фирменному лончеру для игр Blizzard. В этих файлах содержится токен сессии игрока. То есть собственно логин и пароль в руки злоумышленника не попадают, но с помощью токена он сможет некоторое время притворяться пользователем, у которого он этот токен украл.
Зачем это надо мошенникам? Очень просто: все ценные внутриигровые предметы они быстренько перепродадут, выручив с этого неплохие деньги. Такие предметы — и возможность их перепродать — есть, например, в World of Warcraft и в Diablo III.
Или, скажем, есть зловред, который целится в другой сервис — Uplay, фирменный лончер для игр Ubisoft. Этого зловреда зовут Okasidis, наши решения ловят его под общим вердиктом Trojan-Banker.MSIL.Evital.gen. В отношении воровства игровых аккаунтов он ведет себя точно так же, как троян Kpot, разве что ворует два конкретных файла — %LOCALAPPDATA%Ubisoft Game Launcherusers.dat и %LOCALAPPDATA%Ubisoft Game Launchersettings.yml.
Тот же Uplay интересует и зловреда по имени Thief Stealer (детектируется под общим вердиктом — как HEUR:Trojan.Win32.Generic). Разве что этот, не стесняясь, тащит вообще все файлы из папки %LOCALAPPDATA%Ubisoft Game Launcher.
Также Uplay, Origin и Battle.net интересуют зловреда BetaBot (детектируется как Trojan.Win32.Neurevt). Но этот троян работает иначе: если пользователь посещает URL, содержащий определенные ключевые слова (например, любые адреса, в которых есть слова uplay или origin), зловред включает сбор данных из форм на этих страницах. Таким образом, введенные на таком сайте логин и пароль от аккаунта попадут злоумышленникам.
Во всех трех случаях пользователь, скорее всего, ничего не заметит — троян никак не выдает себя на компьютере, не выводит окон с требованиями, а просто тихонько ворует файлы или данные.
Как защититься от троянов, ворующих аккаунты в игровых сервисах
В принципе защищать аккаунты в игровых сервисах нужно так же, как и все остальное. В том числе и от стилеров. Следуйте советам ниже — и никакие троянские воры будут вам не страшны:
- Защитите аккаунт при помощи двухфакторной аутентификации. У Steam есть Steam Guard, у Battle.net — Blizzard Authenticator, Epic Games Store предлагает выбор между аутентификацией через приложение-аутентификатор, SMS или почту. Если ваш аккаунт защищен таким способом, то украденных логина и пароля будет недостаточно для входа в него.
- Не скачивайте моды с сомнительных сайтов и пиратки. Злоумышленники знают тягу людей к бесплатному и пользуются ей, поэтому в кряках, читах и модах нередко можно встретить зловредов.
- Пользуйтесь надежным защитным решением. Например, Kaspersky Security Cloud всех этих стилеров ловит и не дает им воровать данные.
- Не выключайте антивирус во время игры. Иначе получится так, что антивирус вы выключили, собрались залогиниться в сервис — и тут-то дремавший прежде стилер и украдет пароли. В том же Kaspersky Security Cloud есть специальный игровой режим, который не позволяет антивирусу сильно загружать машину во время игры. Поэтому на производительность и частоту кадров он не повлияет, а вот за безопасностью приглядит.