Эпидемия вредоносных ссылок в Steam

Тема в разделе "Техподдержка", создана пользователем V1TSK, 10 ноя 2014.

  1. V1TSK

    V1TSK EasyCoding Team

    Сообщения:
    22.254
    В последнее время появился новый вид вредоносного ПО для Steam, который направлен исключительно на кражу ценных предметов из инвентарей пользователей.

    Распространяется данная малварь под видом ссылки на изображение в формате *.jpg (http://example.org/example.jpg), которую отправляют всем своим френдам в Steam уже заражённые пользователи. При переходе по ссылке скачивается не файл картинки, а нечто вида случайное_имя.jpg.scr.

    Формат SCR - это обычный Windows PE файл (как и exe), используемый для заставок Windows. Такой расчёт скорее всего сделан на невнимательных пользователей двух категорий:
    1. у которых отключено отображение расширений для зарегистрированных типов файлов (по умолчанию в Windows);
    2. тех, у кого первое включено, но он не знает о том, что SCR - это обычный исполняемый файл.
    Данное вредоносное ПО создаётся в специальном генераторе, который недавно утёк в паблик на одном известном в узких кругах ресурсе (ныне ссылки уже стёрты, но Интернет ничего не забывает).

    Я загрузил экземпляр данного вредоносного ПО в отладчик и провёл небольшой анализ. После запуска SCR файла пользователь таки увидит картинку, но в фоне малварь осуществит следующие действия:
    1. получит содержимое инвентаря вошедшего в Steam пользователя;
    2. отправит на удалённый сервер куки авторизации клиента Steam;
    3. если в инвентаре есть ценные предметы игр TF2 и Dota2, то переходит дальше, иначе — на шаг 7;
    4. создаст виртуальный невидимый рабочий стол;
    5. отправит трейд-реквесты со всеми ценными предметами на один из захардкоденых внутри SteamID мошенника (трейд-реквесты появляются на невидимом виртуальном рабочем столе);
    6. отправит все имеющиеся в инвентаре подарки (гифты) на один тот же самый SteamID мошенника;
    7. получит список друзей Steam заражённого аккаунта и начнёт массовую рассылку по ним ссылки на загрузку своей копии (текст случайный из словаря программы). Окна входящих сообщений подавляются путём вывода на скрытый виртуальный рабочий стол;
    8. полностью удалит себя из системы.
    Таким образом, современные вирмейкеры поняли, что воровать аккаунты и потом вручную перебрасывать вещи бессмысленно ибо их восстановит саппорт. Украденные новым способом вещи через саппорт вернуть практически невозможно ибо HardwareID и IP совпадают с предыдущими входами и Steam не фиксирует взлома. Доказать наличие вредоноса также не представляется возможным ибо он уже самоуничтожился из системы.

    Будьте бдительны и никогда не переходите по ссылкам, которые вам отправляют даже старые друзья.

    Статья из моего блога. Источник здесь. Копирование допускается только со ссылкой на оригинал.
    Ruha, Mailz, Grin J и 2 другим нравится это.
  2. AndrewRi

    AndrewRi Легенда

    Сообщения:
    1.495
    Очень полезно. Я в последнее время на разных пабликах в ВК видел, как многие жалуются на взлом
  3. zv1r

    zv1r Легенда

    Сообщения:
    2.908
    Меня пару недель штурмуют уже и кидаюют эти ссылки. Кстати никто с друзей так и не попался, просто добавляются акаунты 0 или 1 уровня. Есть еще типы которые хотят чтобы я сыграл в пару матчей за их команду, и просят скачать чат в котором они сидят так как скайп у них тормозит.
    Mailz нравится это.
  4. AndrewRi

    AndrewRi Легенда

    Сообщения:
    1.495
    Тоже самое и у меня-уже двое таких пытались добавить меня в друзья, на что я им вежливо отказал
  5. User

    User Легенда

    Сообщения:
    2.456
    Я бы конечно мог сказать о том, что только полностью отбитые могут переходить по таким ссылкам, ибо я лично давно проверяю все ссылки побуквенно даже на youtube от людей, которых знаю годами, еще со времен появления первых ссылок подобного типа. Но мне проще - список друзей 60 человек. Всех знаю давно и поименно. Со всеми время от времени общаюсь/играю. Никого нового не добавляю. Одного из 100, ибо не вижу смысла в количестве ради количества.

    А у многих их сотни, а учитывая просто эпический рост бума рассылок подобных ссылок - у меня несколько знакомых не то чтобы потеряли что-то, но на автомате что-то подозрительное то тут, то там - нажимали, после чего спешно меняли пароли.
  6. AndrewRi

    AndrewRi Легенда

    Сообщения:
    1.495
    Я один раз отправил ссылку-шутку "Украсть IP" с 2ip.ru. Когда он открывает ссылку, он видит картинку, что все данные о его компьютере отправились мне. Жертва получает такую картинку
    Показать спойлер
    [​IMG]
    После этого мой друг старается не переходить по ссылкам, которые даю я
    Последнее редактирование: 10 ноя 2014
  7. Charg

    Charg Легенда

    Сообщения:
    3.063
    Есть мнение что ботам похер на вежливость.
    Blizzond нравится это.
  8. V1TSK

    V1TSK EasyCoding Team

    Сообщения:
    22.254
    За прошедшую неделю нам прислали около сотни жалоб на добавление в ЧС из-за этих ссылок. Большинство из аккаунтов, на которые пришли жалобы, зарегистрированы достаточно давно и имеют много игр.

    Это боты. Они вступают в крупные группы, получают список их участников и начинают рассылать ссылки на малварь всем участникам. Далее уже заражённые сами распространяют её.

    Большинство простых пользователей переходят по ссылкам, которые им кидают если видят "безопасное" на их взгляд расширение - *.jpg, *.png, *.gif и т.д. Этим данный вид малварей и пользуется.

    От данного вредоносного ПО смена пароля не защитит ибо он ему не нужен. Малварь просто создаёт новые трейды на скрытом виртуальном рабочем столе от имени вошедшего в Steam пользователя.

    Если хочется узнать IP, то достаточно отправить ссылку на заведомо несуществующую страницу в своём сайте/блоге, а затем просто выполнить cat /var/log/nginx/blog_access.log | grep страница и всё, его IP и UserAgent у тебя в руках. Нет ничего проще.
  9. GTX

    GTX Легенда

    Сообщения:
    3.494
    Это ж каким надо быть идиотом, чтоб не заметить, почему картинка не открылась в браузере, а скачалась в виде .scr?
  10. V1TSK

    V1TSK EasyCoding Team

    Сообщения:
    22.254
    Показ расширений отключён у 99% пользователей ОС Windows ибо такова настройка по умолчанию. Пользователи видят, что качают имя.jpg и думают, что это картинка.
  11. Mailz

    Mailz Легенда

    Сообщения:
    620
    Тоже добавлялись в друзья какие то боты и скидывали ссылку. Так же размещали ссылку в профиле.
    Бдительность наше всё.
  12. zv1r

    zv1r Легенда

    Сообщения:
    2.908
    не знаю как в мозиле, но хром показывает расширение файлов.
  13. Blizzond

    Blizzond Легенда

    Сообщения:
    5.913
    Даже опера кажет.

    И вообще - отключить вывод окна [для абсолютно всех типов файлов] с выбором каталога сохранения - себя не уважать.
  14. AndrewRi

    AndrewRi Легенда

    Сообщения:
    1.495
    Как же все-таки хорошо, что я знаю такого замечательного человека, как @V1TSK
  15. GTX

    GTX Легенда

    Сообщения:
    3.494
    Ну так картинки обычно открываются в браузере, а не качаются!
  16. V1TSK

    V1TSK EasyCoding Team

    Сообщения:
    22.254
    У тебя включено отображение расширений для зарегистрированных файлов в Windows? Если да, то попробуй отключить и проверить.

    Зависит от того, как сервер их отдаёт, а точнее с каким mime-типом. Если как image/jpeg, то отображается в браузере, а если attachment/jpeg или вообще octet/stream, то браузер начнёт качать его. Раньше серверы у Valve были настроены неверно и предлагали сохранить картинку при обращении к ней напрямую.
  17. Ruha

    Ruha Легенда

    Сообщения:
    1.037
    Т.е. все это не отображается и жертва это не видит?
  18. V1TSK

    V1TSK EasyCoding Team

    Сообщения:
    22.254
    Конечно нет. См. пункт 4.
  19. Charg

    Charg Легенда

    Сообщения:
    3.063
    Ага, установить свой вебсервер и перейти на никсы гораздо проще чем в два клика сделать это с помощью постороннего сайта.
    V1TSK в своем репертуаре.
  20. zv1r

    zv1r Легенда

    Сообщения:
    2.908
    не не включено, клик . видимо сам хром показывает это
    V1TSK нравится это.