有一種特定的惡意軟體專門針對遊戲服務的用戶帳號訊息下手,這些遊戲服務包括Origin,Battle.net和Uplay等等。
我們常常討論遊戲玩家會遇到的各種網路安全威脅,有暗藏於盜版遊戲和外掛作弊器中的惡意程式,更有數不勝數出現在遊戲虛擬物品交易時的釣魚和欺詐行為。不久之前我們還關注到購買遊戲帳號時可能出現的一系列問題。幸運的是,如果你能提前了解這些威脅的存在,就能輕鬆避開它們。
除此之外,你還需要了解並且提防來自另一個問題的威脅:密碼竊取器。它們專門竊取帳號訊息,要麼是用戶名密碼組合,要麼是認證令牌(session token),我們的安全防護軟體會在發現這種惡意程式時將其標記上Trojan-PSW的前綴。
你或許聽說過Steam stealer這個木馬程式,它專門竊取世界上最大遊戲服務平台Steam的帳號。其實除了Steam之外,還有許多其他遊戲平台,比如Battle.net,Origin,Uplay,Epic Games和WeGame等等。這些平台全部都擁有數百萬用戶,所以自然會引起攻擊者的興趣,也會有許多針對於它們的密碼竊取器。
何為密碼竊取器
密碼竊取器是一種專門竊取帳號訊息的惡意程式,本質上類似於銀行木馬。區別在於,銀行木馬會截獲或者替代用戶輸入的數據,而密碼竊取器則通常偷取已經儲存在電腦上的訊息,比如保存在瀏覽器中的用戶名和密碼,本地cookies,以及硬碟上的其他文件。更令人可怕的是,有些密碼竊取器不僅僅打遊戲帳號的主意,它們還盯上了受害者的銀行帳號訊息。
密碼竊取器獲取帳號訊息的方式多種多樣。以木馬Kpot(即Trojan-PSW.Win32.Kpot)為例,它主要藉助於垃圾郵件的附件來傳播,這些附件可以利用軟體(比如微軟Office)的安全漏洞來下載惡意程式。
接下來,密碼竊取器將被感染電腦上已安裝程式的訊息發送至指揮控制伺服器(C&C server)並等待下一步行動的指令。可能的指令有竊取本地Cookies甚至Telegram和Skype帳號訊息等等。
除此之外,它還可以竊取%APPDATA%\Battle.net文件夾中擴展名為.config的文件,也許你已經猜到了,這個文件夾正和暴雪遊戲的啟動程式Battle.net相關。這些文件中存有遊戲玩家的認證令牌,它能讓黑客無需用戶名密碼就可以偽裝成用戶來登錄遊戲帳號。
黑客這樣做目的何在?原因很簡單,他們可以迅速賣掉受害者遊戲中的虛擬物品裝備,往往可以大賺一筆,在魔獸世界、夢幻西遊等有著讓人羨慕的稀有裝備的網遊中,一些裝備甚至能夠交易出上萬元的價格。
還有一種名為Okasidis的惡意軟體,它以育碧公司的遊戲啟動程式Uplay為目標。我們已經將這種惡意程式標記為Trojan-Banker.MSIL.Evital.gen。它竊取遊戲帳號的方式幾乎和Kpot木馬程式一樣,不同之處是它會針對兩個具體目標文件:%LOCALAPPDATA%\Ubisoft Game Launcher\users.dat 和%LOCALAPPDATA%\Ubisoft Game Launcher\settings.yml。
另一種名為Thief Stealer(標記為HEUR:Trojan.Win32.Generic)的惡意程式也同樣針對Uplay的遊戲帳號,它會直接打包獲取%LOCALAPPDATA%\Ubisoft Game Launcher\ 文件夾下的所有文件。
還有惡意軟體BetaBot(標記為Trojan.Win32.Neurevt),它會同時攻擊Uplay,Origin和Battle.net帳號。不過這個木馬程式的攻擊方式不同,當用戶訪問URL中含有某些特定關鍵詞(比如”uplay”或者”origin”)的網頁時,它會蒐集這些網頁中表單的數據。因此,攻擊者可以直接獲取用戶輸入到網頁中的用戶名和密碼訊息。
在以上三種情況中,攻擊都是在用戶並不知曉的情況下發生的,木馬程式不會在電腦中露出馬腳,不會在螢幕上顯示任何窗口來發送請求,它只會悄無聲息地竊取文件和數據。
如何防止針對遊戲帳號的木馬?
原則上,遊戲帳號和其他訊息的防護大致相同,包括防止訊息竊取程式帶來的威脅。我們可以按照以下方式來抵御木馬小偷程式:
- 使用雙重認證授權來保護你的帳號,例如Steam的Steam令牌和Battle.net的暴雪手機安全令。Epic Games也支持第三方認證程式和短信郵件認證兩種方式供玩家選擇。
- 請勿從可疑網站下載遊戲修改器或者盜版遊戲。攻擊者非常了解人們貪圖免費產品的心理,他們對此加以利用然後將惡意程式隱藏在遊戲破解軟體和遊戲修改器中。
- 使用可靠的安全防護軟體,例如卡巴斯基安全軟體,它們可以捉獲密碼竊取器並終止它們的惡意操作。
- 請勿在遊戲運行時關閉防毒軟體,否則密碼竊取器將立即暗自啟動。卡巴斯基安全軟體的遊戲模式可以在遊戲運行時有效控制防毒軟體對系統資源的消耗,它可以在不影響遊戲效能或者幀率的情況下仍舊提供有效的安全防護。
資料來源: https://www.kaspersky.com/blog/gaming-password-stealers/35895/