Passwort-Dieb-Malware, die auf Google Drive gespeichert ist, wird online an Steam-Nutzer ausgeliefert

Passwort-Dieb-Malware, die auf Google Drive gespeichert ist, wird online an Steam-Nutzer ausgeliefert

Eine Malware, die darauf abzielt, die Anmeldedaten von STEAM-Nutzern zu stehlen, ist kürzlich aufgetaucht. Diese Malware wird über die Chat-Funktion des Dienstes verbreitet.

Sie fordert die Nutzer auf, auf einen Link zu klicken, der mit den im Internet verfügbaren Kürzungsdiensten verkürzt wurde.

Wenn der Nutzer darauf klickt, wird er auf eine Datei weitergeleitet, die auf Google Drive gespeichert ist. Die Datei scheint eine Bilddatei zu sein, komplett mit einem Bildsymbol darauf. Diese Datei ist tatsächlich eine ausführbare Datei und wird Ihre Steam-Anmeldedaten stehlen, sobald sie ausgeführt wird.

Inhaltsverzeichnis

• Offensichtlicher Angriff
• Offensichtlich ist es zu offensichtlich

Offensichtlicher Angriff

Wenn Sie mit Malware vertraut sind, würde dieser Prozess wie der offensichtlichste Trick im Buch klingen.

Das liegt daran, dass es so ist. Aber wenn wir darüber berichten, zeigt es, dass selbst die offensichtlichsten Angriffe manchmal Opfer finden können. Die meisten Gamer sind sich solcher Malware-Angriffe bewusst und bleiben immer wachsam genug, um sich von bösartigen Seiten fernzuhalten.

Aber manchmal neigen die Menschen dazu, Opfer zu werden, wie es in diesem Fall viele Male geschehen ist.

Wie oben gesagt, sind die meisten Gamer sich der mit Malware beladenen Links bewusst, die in den Chats gepostet werden. Oft werden die Links zum Gegenstand von Witzen im Steam-Chat, weil viele Gamer sich dessen bewusst sind. Hier ist ein Beispiel dafür.

Bart Blaze, Malware-Forscher bei Panda Security, der das Muster analysiert und am Sonntag einen technischen Überblick in einem Blogbeitrag bereitgestellt hat, erklärt, dass der bösartige Link eine Bildschirmschoner-Datei (SCR-Erweiterung) von Google Drive herunterlädt; die SCR gibt vor, ein Bild zu sein und hat sogar ein Bild als Dateisymbol.

„Beachten Sie, dass normalerweise die Google Drive Viewer-Anwendung angezeigt wird und dies Ihnen ermöglicht, die .scr-Datei herunterzuladen. In diesem Fall wird der String ‘&confirm=no_antivirus’ zum Link hinzugefügt, was bedeutet, dass die Datei sofort aufpoppt und fragt, was zu tun ist: Ausführen oder Speichern. (und in einigen Fällen automatisch heruntergeladen wird),“ schreibt er.

Offensichtlich ist es zu offensichtlich

Jetzt zur guten Nachricht. Dieser Angriff scheint so bekannt zu sein, dass die Mehrheit der verfügbaren Antivirenprogramme bekannt ist, dass sie dagegen schützen.

Die meisten seriösen Antivirenlösungen erkennen es und verhindern den Download auf den Computer. 37 von 55 Antiviren-Engines auf VirusTotal haben keine Probleme, es sofort in Quarantäne zu stellen.

In der Analyse des Forschers wird festgestellt, dass die Malware eine Verbindung zu einem Server in der Tschechischen Republik herstellt, wo die gestohlenen Informationen wahrscheinlich hochgeladen werden.

Anzeichen dafür, dass die Anmeldedaten des Steam-Kontos durch diese Bedrohung kompromittiert wurden, bestehen in der Anwesenheit eines Prozesses mit dem Namen „temp.exe“, „wrrrrrrrrrrrr.exe“, „vv.exe“ oder einem mit einem zufälligen Namen, der im System läuft; dies kann mit dem Task-Manager überprüft werden.

Es scheint keine Maßnahmen gegen diese Malware ergriffen worden zu sein, da die Datei weiterhin auf Googles Cloud-Speicherdienst existiert. Dies ist der einzige Grund, warum Steam-Nutzer denken könnten, dass es legitim ist und Opfer der Malware werden.