В последнее время появился новый вид вредоносного ПО для Steam, который направлен исключительно на кражу ценных предметов из инвентарей пользователей.
Распространяется данная малварь под видом ссылки на изображение в формате *.jpg (
http://example.org/example.jpg), которую отправляют всем своим френдам в Steam уже заражённые пользователи. При переходе по ссылке скачивается не файл картинки, а нечто вида случайное_имя.jpg.scr.
Формат SCR - это обычный Windows PE файл (как и exe), используемый для заставок Windows. Такой расчёт скорее всего сделан на невнимательных пользователей двух категорий:
у которых отключено отображение расширений для зарегистрированных типов файлов (по умолчанию в Windows);
тех, у кого первое включено, но он не знает о том, что SCR - это обычный исполняемый файл.
Данное вредоносное ПО создаётся в специальном генераторе, который недавно утёк в паблик на одном известном в узких кругах ресурсе (ныне ссылки уже стёрты, но Интернет ничего не забывает).
Я загрузил экземпляр данного вредоносного ПО в отладчик и провёл небольшой анализ. После запуска SCR файла пользователь таки увидит картинку, но в фоне малварь осуществит следующие действия:
- получит содержимое инвентаря вошедшего в Steam пользователя;
- отправит на удалённый сервер куки авторизации клиента Steam;
- если в инвентаре есть ценные предметы игр TF2 и Dota 2, то переходит дальше, иначе — на шаг 7;
- создаст виртуальный невидимый рабочий стол;
- отправит трейд-реквесты со всеми ценными предметами на один из захардкоденых внутри SteamID мошенника (трейд-реквесты появляются на невидимом виртуальном рабочем столе);
- отправит все имеющиеся в инвентаре подарки (гифты) на один тот же самый SteamID мошенника;
- получит список друзей Steam заражённого аккаунта и начнёт массовую рассылку по ним ссылки на загрузку своей копии (текст случайный из словаря программы). Окна входящих сообщений подавляются путём вывода на скрытый виртуальный рабочий стол;
- полностью удалит себя из системы.
Таким образом, современные вирмейкеры поняли, что воровать аккаунты и потом вручную перебрасывать вещи бессмысленно ибо их восстановит саппорт. Украденные новым способом вещи через саппорт вернуть практически невозможно ибо HardwareID и IP совпадают с предыдущими входами и Steam не фиксирует взлома. Доказать наличие вредоноса также не представляется возможным ибо он уже самоуничтожился из системы.
Будьте бдительны и никогда не переходите по ссылкам, которые вам отправляют даже старые друзья.
Источник:
https://www.easycoding.org/2014/11/10/epidemiya-vredonosnyx-ssylok-v-steam.htmlНажмите, чтобы раскрыть...