Взлом

Опасные игры. Как работают трояны, атакующие игровые платформы


Компьютерные игры — огромная индустрия, в которой крутится чуть ли не столько же денег, сколько в нефтяном бизнесе. Деньги эти привлекают не только инвесторов, но и представителей криминального мира, среди которых немало вирусописателей. Число вредоносных программ, ворующих игровые предметы и угоняющих аккаунты пользователей Steam, растет не по дням, а по часам. Эта статья рассказывает о том, как устроены подобные трояны.

Разработчики современных многопользовательских игр создают целые виртуальные вселенные, наделенные не только своей мифологией и физическими законами, но и собственной экономической системой. В игровых мирах обязательно присутствуют артефакты и амуниция, дающая игроку определенные преимущества или позволяющая изменить внешний вид персонажа. Амуницию можно добыть в бою, найти, получить, решив определенную задачу или выполнив квест, а можно просто купить. Именно так и зарабатывают себе на жизнь некоторые геймеры: продают накопленные непосильным трудом игровые предметы либо даже целые аккаунты с прокачанным персонажем.

А там, где пахнет наживой, неизбежно всплывают и всевозможные серые схемы. Например, еще в 2011 году корреспонденты The Guardian писали о заключенных китайских тюрем, которых надзиратели заставляли заниматься фармингом — добывать лут и игровую валюту, продававшуюся потом за реальные деньги. Вскоре к дележу пирога присоединились и вирмейкеры, начавшие распространять под видом читов и трейнеров трояны для угона у пользователей игровых аккаунтов. А в 2014 году было зафиксировано распространение вредоносов, кравших не учетки Steam, а отдельные игровые предметы, причем крайне хитроумным способом.

Так выглядит типичный магазин игровых предметов в Steam
 

SteamBurglar

Летом 2014 года у пользователей CS:GO стал таинственным образом пропадать игровой инвентарь, о чем они писали встревоженные сообщения на Reddit. Непосредственно перед самим инцидентом игрок получал в чате Steam сообщение от другого пользователя с предложением обменяться виртуальными предметами. Послание содержало скриншот предлагаемого к обмену инвентаря, при этом сама сделка выглядела достаточно выгодной. После успешного завершения операции юзер логинился в игру и с удивлением обнаруживал, что часть его наиболее ценного имущества исчезла в неизвестном направлении.

Такие сообщения получали пострадавшие пользователи

Благодаря проведенному аналитиками расследованию удалось установить первопричину «трагедии». Ею оказался троян SteamBurglar. Пока ничего не подозревающий юзер разглядывал в окне чата дорогой предмет, предложенный ему для обмена на какую-нибудь посредственную безделушку, трой находил в памяти компьютера процесс Steam и вытаскивал из него информацию об имеющейся в арсенале пользователя амуниции. Затем по этому списку выполнялся поиск с использованием ключевых слов rare, mythical, immortal, legendary, arcana и key (список ключевиков можно настраивать в админке троя) — таким образом SteamBurglar выбирал наиболее ценный инвентарь. Найденное барахло троян тут же выставлял на продажу через Steam по весьма выгодной цене. Вырученные деньги поступали на счет вирмейкера.

Сам троян и билдеры для него успешно предлагались на читерских форумах, причем трой позволял воровать предметы не только из CS:GO, но и из других игрушек: Dota 2, Team Fortress 2, Warframe.

Так выглядел билдер SteamBurglar

Для рассылки сообщений пользователи SteamBurglar применяли сторонние инструменты, но в декабре 2014-го автор выкатил обновление троя, позволявшее спамить в чаты прямо из приложения-админки. В ответ на возмущенные сообщения пострадавших игроков администрация Steam поначалу отмораживалась, предлагая обокраденным юзерам самостоятельно искать на страницах маркета аккаунты злодеев и жаловаться на них в саппорт. Однако под давлением общественности они все-таки изменили процедуру продажи игровых предметов, после чего для совершения подобных сделок потребовалось обязательное подтверждение по электронной почте.

Источник: xakep.ru

Оставить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *