Malware voleur de mots de passe stocké sur Google Drive livré aux utilisateurs de Steam en ligne

Malware voleur de mots de passe stocké sur Google Drive livré aux utilisateurs de Steam en ligne

Un malware qui vise à voler les identifiants des utilisateurs de STEAM est apparu récemment. Ce malware est diffusé via la fonction de chat du service.

Il demande aux utilisateurs de cliquer sur un lien qui est raccourci à l’aide des services de raccourcissement disponibles sur Internet.

Lorsque l’utilisateur clique dessus, il est dirigé vers un fichier stocké sur Google Drive. Le fichier semble être un fichier image, avec une icône d’image dessus. Ce fichier est en fait un exécutable et volera vos identifiants Steam une fois exécuté.

Table des matières

• Attaque évidente
• Apparemment, c’est trop évident

Attaque évidente

Si vous êtes familier avec les malwares, ce processus aurait semblé être le truc le plus évident du livre.

C’est parce que c’est le cas. Mais si nous en parlons, cela montre que parfois même les attaques les plus évidentes peuvent avoir des victimes. La plupart des joueurs sont conscients de ce type d’attaques de malware et restent toujours suffisamment vigilants pour éviter les sites malveillants.

Mais parfois, les gens ont tendance à tomber dans le piège, comme cela s’est produit dans ce cas à plusieurs reprises.

Comme mentionné ci-dessus, la plupart des joueurs sont conscients des liens chargés de malware poussés dans les chats. Souvent, les liens deviennent un sujet de blague sur le chat Steam car de nombreux joueurs en sont conscients. Voici un exemple de l’un d’eux.

Bart Blaze, chercheur en malware chez Panda Security, qui a analysé l’échantillon et fourni un aperçu technique dans un article de blog dimanche, explique que le lien malveillant procède au téléchargement d’un fichier de protection d’écran (extension SCR), qui est un exécutable, depuis Google Drive ; le SCR prétend être une image et a même une image comme icône de fichier.

“Notez que normalement, l’application Google Drive Viewer sera affichée et cela vous permettra de télécharger le fichier .scr. Dans ce cas, la chaîne ‘&confirm=no_antivirus’ est ajoutée au lien, ce qui signifie que le fichier apparaîtra immédiatement en demandant quoi faire : Exécuter ou Enregistrer. (et dans certains cas, télécharger automatiquement),” écrit-il.

Apparemment, c’est trop évident

Maintenant pour la bonne nouvelle. Cette attaque semble être si bien connue qu’une majorité des antivirus disponibles sont connus pour se protéger contre elle.

La plupart des solutions antivirus réputées la détectent et empêchent son téléchargement sur l’ordinateur. 37 des 55 moteurs antivirus sur VirusTotal n’ont aucun problème à la mettre en quarantaine sur le champ.

Dans l’analyse du chercheur, il est noté que le malware se connecte à un serveur hébergé en République tchèque, où les informations volées sont probablement téléchargées.

Les signes que les informations de connexion du compte Steam sont compromises via cette menace consistent en la présence d’un processus nommé “temp.exe,” “wrrrrrrrrrrrr.exe,” “vv.exe,” ou un avec un nom aléatoire s’exécutant sur le système ; cela peut être vérifié avec le Gestionnaire des tâches.

Aucune action ne semble avoir été prise contre ce malware car le fichier existe toujours sur le service de stockage cloud de Google. C’est la seule raison pour laquelle les utilisateurs de Steam peuvent penser qu’il est légitime et tomber dans le piège du malware.