Steam стал штабом для координации атак хакеров и используется как прокси-ресурс вирусами. Эксперты по кибербезопасности отметили тревожную тенденцию
В России участились разговоры о блокировке Steam. Появился ещё один аргумент «ЗА» ограничение доступа к сервису Valve.
Недавно в России заблокировали Discord, а теперь возникли и опасения по поводу дальнешей судьбы Steam. Вопросы есть не только к контенту в сообществе или продаваемым в магазине играм.
Эксперты по кибербезопасности из Solar обратили внимание на то, что сервис Steam стал штабом для координации атак хакеров и используется как прокси-ресурс («прокладка»):
«С недавних пор популярный сервис для игр и общения Steam привлекает не только геймеров, но и разработчиков вредоносного ПО в контексте техники Dead Drop Resolver (DDR). В частности, мы наблюдаем, как известные семейства стилеров, такие как Vidar, Lumma и ACR, применяют различные техники получения адресов C2 (Command and Control) через информацию, содержащуюся в пользовательских профилях….».
Стилеры используются для сбора различной информации, вроде имени пользователя, времени, размера экрана, используемого «железа», текста в буфере обмена, языка ввода, также может делаться скриншот экрана, осуществляться поиск файлов, связанных с криптокошельками (wallet.dat), и т.д.
Идея техники Dead Drop Resolver заключается в использовании злоумышленниками легитимных ресурсов для публикации информации, связанной с C2, т.е. вирус из зараженной инфраструктуры будет обращаться к вполне обычному ресурсу (YouTube, Steam и т.п.), а не напрямую к подозрительному IP-адресу. Даже если обращения заметят, при таких вводных выше шанс того, что они не вызовут подозрений.
Злоумышленниками в Steam используется не только «заметный параметр» (нужные для работы вещи могут вписывать в «имя профиля»). Более продвинутые хакерские решения задействуют и секцию комментариев, что делает их деятельность внешне менее заметной — при смене имени, последние использованные остаются в истории, а комментарии при желании можно удалить и не оставить никаких следов.
Пример комментария, который постороннему покажется просто набором символов — это можно расшифровать, получится адрес C2 da[.]tadot[.]xyz:443
***
Автор обложки: Valve, ZombiesWillRapeYou. Источник изображения: reddit.com
***
Автор скриншотов: Solar. Источник изображений: rt-solar.ru