Badacze z firmy Kaspersky odkryli zaawansowanego trojana BloodyStealer, sprzedawanego na forach darknetu i wykorzystywanego do kradzieży kont graczy na popularnych platformach do gier, takich jak Steam, Epic Games Store czy EA Origin. Wyposażony w funkcje, które utrudniają wykrycie oraz analizowanie go, jak również w kilka interesujących możliwości, a do tego oferowany w niskiej cenie subskrypcyjnej, BloodyStealer to doskonały przykład zagrożeń, z jakimi stykają się gracze online. Informacje o nim, jak również przegląd produktów związanych z grami kradzionymi i sprzedawanymi w darknecie można znaleźć w najnowszym raporcie firmy Kaspersky dot. zagrożeń związanych z grami.
Jak wynika z najnowszego badania firmy Kaspersky, w darknecie istnieje zapotrzebowanie na przedmioty oraz konta w grach. Loginy do gier wraz z hasłami do popularnych platform, takich jak Steam, Origin, Ubisoft czy EpicGames, można kupić już za około 55 zł za tysiąc kont w sprzedaży hurtowej oraz za 1-30% wartości konta w sprzedaży detalicznej. Skradzione konta nie pochodzą z przypadkowych wycieków danych, ale są raczej wynikiem celowych kampanii cyberprzestępczych z wykorzystaniem szkodliwego oprogramowania, takiego jak BloodyStealer.
BloodyStealer to trojan kradnący informacje, który gromadzi i potajemnie wyprowadza różne rodzaje danych, takich jak np. pliki cookie, hasła, formularze, karty bankowe, z przeglądarek, zrzutów ekranu, pamięci logowania czy sesji z różnych aplikacji. Obejmują one sesje gier, w szczególności na platformach EpicGames, Origin oraz Steam.
Badacze z firmy Kaspersky po raz pierwszy zauważyli omawianego trojana w marcu 2021 r., gdy reklamowano jego możliwości unikania wykrycia oraz ochrony przed inżynierią wsteczną oraz ogólnie analizą szkodliwego oprogramowania. Szkodnik jest sprzedawany na forach czarnorynkowych w atrakcyjnej cenie – niecałe 40 zł za miesięczną subskrypcję lub około 150 zł za dożywotnią subskrypcję.
Szkodnik zwrócił uwagę badaczy ze względu na wykorzystywanie kilku metod służących skomplikowaniu analizy oraz inżynierii wstecznej, łącznie z użyciem kompresji oraz technik zapobiegających debugowaniu. Trojan jest sprzedawany na czarnym rynku, a klienci mogą zabezpieczyć go za pomocą wybranego przez siebie mechanizmu kompresji lub wykorzystywać w ramach innego wieloetapowego łańcucha infekcji. Eksperci z firmy Kaspersky wykryli ataki wykorzystujące trojana BloodyStealer w Europie, w Ameryce Łacińskiej oraz rejonie Azji i Pacyfiku.
O ile BloodyStealer nie został stworzony wyłącznie w celu kradzieży informacji dotyczących gier, atakowane przez niego platformy wyraźnie wskazują na zapotrzebowanie na tego rodzaju dane wśród cyberprzestępców. Dane logowania, konta, przedmioty w grach – wszystkie te „produkty” związane z grami są sprzedawane hurtowo bądź indywidualnie w darknecie w atrakcyjnej cenie.
Mimo bogactwa opcji dostępnych cyberprzestępcom chcącym zakupić lub wypożyczyć trojana lub wykorzystać go w swoim łańcuchu ataków BloodyStealer zdołał zwrócić na siebie uwagę użytkowników na jednym z podziemnych forów. Szkodnik ten posiada kilka interesujących możliwości, takich jak wydobywanie haseł przeglądarek, plików cookie oraz informacji dot. środowiska. Jego twórcy wyposażyli go w dodatkowe możliwości, takie jak przechwytywanie informacji związanych z platformami gier online. Informacje te mogą być następnie sprzedawane na różnych platformach lub poprzez kanały Telegrama związane ze sprzedażą dostępu do kont gier online – powiedział Dmitrij Gałow, badacz bezpieczeństwa z Globalnego Zespołu ds. Badań i Analiz (GReAT) firmy Kaspersky. Cyberprzestępcy bez wątpienia polują na konta w grach, dlatego jeśli chcesz grać bez obaw i nie martwić się, że stracisz swoje konta, zabezpiecz je przy pomocy uwierzytelnienia dwuskładnikowego oraz stosuj niezawodne rozwiązanie bezpieczeństwa dla swoich urządzeń.
Szczegóły techniczne dotyczące trojana BloodyStealer oraz oprogramowania związanego z grami dostępnego w darknecie są dostępne na stronie.