W poniedziałek badacze firmy Kaspersky opisali nowego, „zaawansowanego” trojana o nazwie „BloodyStealer”, który atakuje konta użytkowników gier. Trojan ten może pobierać dane z komputerów PC, w tym hasła, pliki cookie, szczegóły dotyczące kart bankowych, zrzuty ekranu i wiele innych. Może również wykradać sesje klienckie z kont Bethesda, Epic Games, GOG, EA Origin, Steam, Telegram oraz VimeWorld. Kaspersky znalazł to szkodliwe oprogramowanie w marcu w ogłoszeniu na podziemnym forum.
Badacze twierdzą, że szkodliwe oprogramowanie zostało już rozprzestrzenione w Europie, Ameryce Łacińskiej oraz regionie Azji i Pacyfiku, mimo że jest stosunkowo nowe. BloodySteal posiada również narzędzia, dzięki którym trudniej jest go poddać analizie.
„Byliśmy w stanie zidentyfikować kilka metod anty-analizy, które zostały użyte do skomplikowania inżynierii wstecznej i analizy BloodyStealer, w tym użycie packerów i technik anty-debugowania. Monitorowaliśmy BloodyStealera od momentu jego ogłoszenia, dzięki czemu mogliśmy zauważyć, że większość próbek BloodyStealera była chroniona za pomocą komercyjnego rozwiązania o nazwie „AgileNet”. Podczas analizowania próbek wykrytych w środowisku naturalnym stwierdziliśmy, że niektóre z nich były chronione nie tylko za pomocą AgileNet, ale również innych, bardzo popularnych narzędzi ochrony dla środowiska .NET, takich jak Confuser.”
Kaspersky twierdzi, że sprzedawcy wykorzystują model dystrybucji „malware-as-a-service (MaaS)”. Kosztuje on jedynie około 10 dolarów miesięcznie lub 40 dolarów za dożywotnią licencję, co czyni go atrakcyjnym dla osób chcących kraść konta graczy.
Sprawia to również, że jest to bardzo opłacalne dla złodziei sprzedających informacje o kontach. Jeden ze sprzedawców w darknecie żądał 4000 dolarów za zbiorczą listę 280 000 kont. Klienci szukający pojedynczych profili gier mogą je łatwo znaleźć za mniej niż 50 centów, co czyni je równie atrakcyjnymi dla tych, którzy nie chcą używać trojana.
Mimo że Kaspersky odkrył szkodliwe oprogramowanie na początku bieżącego roku, zwlekał z jego publicznym ujawnieniem do momentu, gdy wprowadził metody łagodzenia jego skutków na swojej platformie antywirusowej.
„Kaspersky Security Cloud blokuje BloodyStealer i nie przeszkadza w rozgrywce” – podaje firma, dodając, że inne rozwiązania bezpieczeństwa mogą już mieć wdrożone podobne metody łagodzenia.
Badający sprawę zalecają stosowanie innych zdroworozsądkowych środków, takich jak używanie silnych haseł z włączoną funkcją 2FA, pobieranie aplikacji tylko z zaufanych źródeł, upewnianie się, że strony internetowe proszące o podanie danych uwierzytelniających są autentyczne oraz nieklikanie odsyłaczy w wiadomościach e-mail od nieznajomych. Kaspersky dostarcza również wskazówki dotyczące maksymalnego wykorzystania ustawień bezpieczeństwa na kilku platformach, w tym Steam, Battle.net, Origin, Twitch oraz Discord.