Клиперы
Эта разновидность вредоносных программ, известная довольно давно, но получившая «вторую жизнь» в эпоху популярности криптовалют и электронных платежных систем, не имеет никакого отношения к парусным кораблям. Свое название троянцы-клиперы получили от английского термина «clipboard» «буфер обмена». Собственно, в этом наименовании и раскрывается их предназначение: клиперы отслеживают состояние буфера обмена и похищают скопированную туда информацию. В частности, они могут подменять помещенные в буфер обмена имена кошельков криптовалют и платежных систем на данные, заранее подготовленные злоумышленниками. В результате этого жертва, желающая перевести кому-нибудь денежные средства, сама того не подозревая отправляет платеж напрямую киберпреступникам. К слову, в 2018 году специалистами по информационный безопасности был обнаружен первый троянец-клипер для мобильной платформы Android.
Стилеры
Троянцев-стилеров (от англ. Stealer «вор») можно отнести к категории шпионского ПО. Как это следует из их наименования, стилеры предназначены для кражи на инфицированном компьютере различной информации. Прежде всего, это файлы cookies, реквизиты банковских карт, сохраненные пароли и данные для автоматического заполнения форм в браузерах, а также файлы, в которых хранится информация учетных записей от различных приложений мессенджеров, FTP-клиентов, клиентов электронной почты. Многие стилеры целенаправленно передают злоумышленникам все электронные документы, хранящиеся на Рабочем столе Windows.
Троянцы для любителей игр
В 20172018 годах высокую популярность среди вирусописателей обрели стилеры, ворующие файлы из клиентов игровой платформы Steam. Steam это система цифровой дистрибуции, созданная компанией Valve Corporation. Она предназначена для распространения компьютерных игр и программ. Пользователи этой платформы имеют доступ к личному кабинету, в котором собрана информация обо всех приобретенных ими ранее играх и программах. Помимо этого они могут совершать покупки в специальном магазине Steam, где предлагается различный цифровой контент, а также продавать и обмениваться игровыми предметами с другими пользователями.
Ряд современных многопользовательских электронных игр представляет собой настоящие виртуальные миры с собственными социальными и экономическими законами. В таких вселенных игрок может приобретать различные виртуальные предметы и ресурсы например доспехи, магические заклинания или дополнительную броню, которые меняют внешний вид игрока или дают ему ряд тактических преимуществ перед другими игроками. Причем многие подобные артефакты можно купить за реальные деньги (на чем и зарабатывают некоторые издатели компьютерных игр, делая саму игру бесплатной), а ставшие ненужными игровые предметы продать другим пользователям.
Именно поэтому игровые предметы имеют среди игроков высокую ценность: некоторые артефакты можно продать за сотни и тысячи вполне реальных американских долларов. Сегодня существует обширный подпольный рынок купли-продажи краденых игровых предметов, большая часть которых была похищена с использованием троянцев.
Так, летом 2014 года у пользователей игры CS: GO стал таинственным образом пропадать игровой инвентарь, о чем они писали встревоженные сообщения на Reddit. Непосредственно перед самим инцидентом игрок получал в чате Steam сообщение от другого пользователя с предложением обменяться виртуальными предметами. Послание содержало скриншот предлагаемого к обмену инвентаря, при этом сама сделка выглядела достаточно выгодной. После успешного завершения операции пользователь заходил в игру и с удивлением обнаруживал, что часть его наиболее ценного имущества исчезла в неизвестном направлении.
Благодаря проведенному аналитиками расследованию удалось установить первопричину «трагедии». Ею оказался троян SteamBurglar. Пока ничего не подозревающий игрок разглядывал в окне чата дорогой предмет, предложенный ему для обмена на какую-нибудь посредственную безделушку, троянец находил в памяти компьютера процесс Steam и вытаскивал из него информацию об имеющейся в арсенале пользователя амуниции. Затем по этому списку выполнялся поиск с использованием ключевых слов rare, mythical, immortal, legendary, arcana и key (список ключевиков можно настраивать в админнистративной панели трояна) таким образом SteamBurglar выбирал наиболее ценный инвентарь. Найденное барахло троян тут же выставлял на продажу через Steam по весьма выгодной цене. Вырученные деньги поступали на счет вирусописателя.
Рис. 7.Так выглядит билдер программа для конструирования троянца-стилера SteamBurglar
Сам троян и билдеры (программы для его изготовления) успешно предлагались на читерских форумах, причем трой позволял воровать предметы не только из CS: GO, но и из других игрушек: Dota 2, Team Fortress 2, Warframe. Для рассылки сообщений пользователи SteamBurglar применяли сторонние инструменты, но в декабре 2014 автор выкатил обновление трояна, позволявшее спамить в чаты прямо из приложения-админки. В ответ на возмущенные сообщения пострадавших игроков администрация Steam поначалу отмалчивалась, предлагая обокраденным юзерам самостоятельно искать на страницах маркета аккаунты злодеев и жаловаться на них в техподдержку. Однако под давлением общественности они все-таки изменили процедуру продажи игровых предметов, после чего для совершения подобных сделок потребовалось обязательное подтверждение по электронной почте.
Осенью того же года по Сети начал разгуливать новый троянец, SteamLogger.1, с тем же самым функциональным назначением кража предметов у игроков Dota 2, CS: GO и Team Fortress 2. Но устроен он был гораздо более замысловато.
Дроппер трояна распространялся с помощью ссылок на читерских сайтах, в социальных сетях и в личных сообщениях. Потенциальной жертве предлагалось купить по дешевке или обменять игровой инвентарь, а подробности сделки она должна была получить по ссылке, при нажатии на которую на компьютер скачивался дроппер троянца. Внутри дроппера в зашифрованном виде хранился сам троян и его сервисный модуль. При запуске исполняемого файла образ дроппера загружался в память, его содержимое расшифровывалось и сохранялось на диск: сервисный модуль в папку %TEMP% под именем update.exe, а тело трояна подгружалось в память с помощью метода Assembly.Load (). Сразу же после этого SteamLogger.1 скачивал с управляющего сервера и показывал на экране картинку с изображением якобы предлагаемого к продаже товара, чтобы усыпить бдительность жертвы.
Рис. 8.Вот такую картинку показывал игроку троянец SteamLogger.1
Дальше к работе подключался сервисный модуль. Он искал в папке ProgramFiles (x86)\Common Files\ подпапку с именем Steam (если не находил создавал ее), сохранял в нее файл SteamService.exe, присваивал ему атрибуты «системный» и «скрытый», после чего запускал его, предварительно зарегистрировав это приложение в отвечающей за автозагрузку ветви реестра. Собрав информацию о зараженной машине (включая серийный номер системного раздела, версию и разрядность ОС), сервисный модуль отсылал ее на управляющий сервер. При этом использовались прокси, адреса которых хранятся в самой программе. Основное предназначение сервисного модуля обновление трояна.
Основной модуль SteamLogger.1 висит в памяти зараженной машины, внимательно отслеживает состояние процесса игрового клиента и ждет, пока пользователь авторизуется в Steam. Как только это произойдет, троян перехватывает используемые для входа в учетную запись данные, определяет, используются ли защитные механизмы SteamGuard, steam-id, security token, и передает все эти сведения на управляющий сервер. В ответ он получает список аккаунтов, на которые можно передать украденные у жертвы игровые предметы, и необходимые для совершения «сделки» параметры. Затем троян ищет в папке steam-клиента файлы, в именах которых содержится строка ssfn*, собирает содержимое подпапки confg, после чего формирует из полученных файлов большой массив, дописывает в его конец данные об аккаунте жертвы и шифрует все это с помощью Base64. Результат отсылается на управляющий сервер. Наконец, SteamLogger.1 проверяет, включена ли в клиенте Steam функция автоматического входа в аккаунт, и, если нет, запускает кейлоггер, который записывает и передает злодеям коды нажимаемых на зараженной машине клавиш. Любопытно, что кейлоггер не сохраняет результат своей работы в файл на локальной машине, а формирует специальный POST-запрос и передает его на управляющий сервер с интервалом в пятнадцать секунд. Этот запрос обрабатывается и логируется уже на стороне сервера.
Предметы, которые троянец планирует украсть, он ищет в инвентаре жертвы по ключевым словам Mythical, Legendary, Arcana, Immortal, Container и Supply Crate. При этом SteamLogger.1 проверяет, не выставил ли сам пользователь что-либо из списка на продажу, и, если это так, снимает с продажи интересующий его предмет. После чего все найденные предметы передаются на один из аккаунтов Steam, реквизиты которых троян получил ранее с управляющего сервера. Для перепродажи краденого киберпреступники создали несколько интернет-магазинов.
С тех пор новые вредоносы, предназначенные для угона аккаунтов Steam и различного игрового инвентаря, стали появляться регулярно. Распространению способствовало и появление троянцев, продававшихся как услуга по принципу malware as a service. Несколько таких стилеров активно распространялись летом 2018 года. Стоило пользователю зараженной машины выставить для обмена какой-либо игровой предмет на одной из предназначенных для этого площадок, такой троянец дожидался запроса от желающего обменять артефакт пользователя, отклонял его, а затем использовал аватар и ник игрока, чтобы направить жертве аналогичное предложение, но уже от имени учетной записи злоумышленника. При обмене инвентаря на официальном портале steamcommunity.com троян с помощью веб-инжекта менял изображения игровых предметов. Игроку казалось, что он приобретает дорогой и очень ценный артефакт, в то время как на самом деле он получал дешевую «безделушку».
Подводя итог, можно сказать, что весь существующий ныне ассортимент «игровых троянцев» условно делится на несколько категорий. Наиболее простые из них крадут файлы из клиента Steam либо воруют учетные данные пользователя для этого применяется кейлоггинг и поддельные формы авторизации. Продвинутая малварь использует анализаторы трафика и веб-инжекты для перехвата критичных параметров безопасности и подмены игровых предметов при совершении онлайновых сделок обмена или купли-продажи. А в будущем вирусописатели наверняка придумают какие-нибудь новые методы отъема ценного виртуального имущества у любителей игр: там, где речь идет о деньгах, без этого не обходится никогда.