Опасные игры. Как работают трояны, атакующие игровые платформы

Содержание статьи

Компьютерные игры — огромная индустрия, в которой крутится чуть ли не столько же денег, сколько в нефтяном бизнесе. Деньги эти привлекают не только инвесторов, но и представителей криминального мира, среди которых немало вирусописателей. Число вредоносных программ, ворующих игровые предметы и угоняющих аккаунты пользователей Steam, растет не по дням, а по часам. Эта статья рассказывает о том, как устроены подобные трояны.

Разработчики современных многопользовательских игр создают целые виртуальные вселенные, наделенные не только своей мифологией и физическими законами, но и собственной экономической системой. В игровых мирах обязательно присутствуют артефакты и амуниция, дающая игроку определенные преимущества или позволяющая изменить внешний вид персонажа. Амуницию можно добыть в бою, найти, получить, решив определенную задачу или выполнив квест, а можно просто купить. Именно так и зарабатывают себе на жизнь некоторые геймеры: продают накопленные непосильным трудом игровые предметы либо даже целые аккаунты с прокачанным персонажем.

А там, где пахнет наживой, неизбежно всплывают и всевозможные серые схемы. Например, еще в 2011 году корреспонденты The Guardian писали о заключенных китайских тюрем, которых надзиратели заставляли заниматься фармингом — добывать лут и игровую валюту, продававшуюся потом за реальные деньги. Вскоре к дележу пирога присоединились и вирмейкеры, начавшие распространять под видом читов и трейнеров трояны для угона у пользователей игровых аккаунтов. А в 2014 году было зафиксировано распространение вредоносов, кравших не учетки Steam, а отдельные игровые предметы, причем крайне хитроумным способом.

Так выглядит типичный магазин игровых предметов в SteamТак выглядит типичный магазин игровых предметов в Steam

SteamBurglar

Летом 2014 года у пользователей CS:GO стал таинственным образом пропадать игровой инвентарь, о чем они писали встревоженные сообщения на Reddit. Непосредственно перед самим инцидентом игрок получал в чате Steam сообщение от другого пользователя с предложением обменяться виртуальными предметами. Послание содержало скриншот предлагаемого к обмену инвентаря, при этом сама сделка выглядела достаточно выгодной. После успешного завершения операции юзер логинился в игру и с удивлением обнаруживал, что часть его наиболее ценного имущества исчезла в неизвестном направлении.

Такие сообщения получали пострадавшие пользователиТакие сообщения получали пострадавшие пользователи

Благодаря проведенному аналитиками расследованию удалось установить первопричину «трагедии». Ею оказался троян SteamBurglar. Пока ничего не подозревающий юзер разглядывал в окне чата дорогой предмет, предложенный ему для обмена на какую-нибудь посредственную безделушку, трой находил в памяти компьютера процесс Steam и вытаскивал из него информацию об имеющейся в арсенале пользователя амуниции. Затем по этому списку выполнялся поиск с использованием ключевых слов rare, mythical, immortal, legendary, arcana и key (список ключевиков можно настраивать в админке троя) — таким образом SteamBurglar выбирал наиболее ценный инвентарь. Найденное барахло троян тут же выставлял на продажу через Steam по весьма выгодной цене. Вырученные деньги поступали на счет вирмейкера.

Сам троян и билдеры для него успешно предлагались на читерских форумах, причем трой позволял воровать предметы не только из CS:GO, но и из других игрушек: Dota 2, Team Fortress 2, Warframe.

Так выглядел билдер SteamBurglarТак выглядел билдер SteamBurglar

Для рассылки сообщений пользователи SteamBurglar применяли сторонние инструменты, но в декабре 2014-го автор выкатил обновление троя, позволявшее спамить в чаты прямо из приложения-админки. В ответ на возмущенные сообщения пострадавших игроков администрация Steam поначалу отмораживалась, предлагая обокраденным юзерам самостоятельно искать на страницах маркета аккаунты злодеев и жаловаться на них в саппорт. Однако под давлением общественности они все-таки изменили процедуру продажи игровых предметов, после чего для совершения подобных сделок потребовалось обязательное подтверждение по электронной почте.

Продолжение доступно только подписчикам

Материалы из последних выпусков можно покупать отдельно только через два месяца после публикации. Чтобы продолжить чтение, необходимо купить подписку.

Подпишись на «Хакер» по выгодной цене!

Подписка позволит тебе в течение указанного срока читать ВСЕ платные материалы сайта. Мы принимаем оплату банковскими картами, электронными деньгами и переводами со счетов мобильных операторов. Подробнее о подписке

Читать новость в источнике Xakep

0