Malware Password Stealer memorizzato su Google Drive consegnato agli utenti Steam online

Malware Password Stealer memorizzato su Google Drive consegnato agli utenti Steam online

Un malware che mira a rubare le credenziali degli utenti STEAM è emerso recentemente. Questo malware viene diffuso tramite la funzione chat del servizio.

Chiede agli utenti di cliccare su un link che è accorciato utilizzando i servizi di accorciamento disponibili su internet.

Quando l’utente ci clicca sopra, viene reindirizzato a un file memorizzato su Google Drive. Il file sembra essere un file immagine, completo di un’icona immagine su di esso. Questo file in realtà è un eseguibile e ruberà le tue credenziali Steam una volta eseguito.

Table Of Contents

• Attacco Ovvio
• Apparentemente, è troppo ovvio

Attacco Ovvio

Se sei familiare con i malware, questo processo ti sarebbe sembrato il trucco più ovvio del libro.

Perché lo è. Ma se ne stiamo parlando, dimostra che a volte anche gli attacchi più ovvi possono avere vittime. La maggior parte dei giocatori è a conoscenza di tali attacchi malware e rimane sempre abbastanza vigile per stare lontano dai siti malevoli.

Ma a volte, le persone tendono a cadere preda come è successo in questo caso molte volte.

Come detto sopra, la maggior parte dei giocatori è a conoscenza dei link pieni di malware che vengono spinti nelle chat. Molte volte i link diventano oggetto di scherzo nella chat di Steam perché molti giocatori ne sono a conoscenza. Ecco un esempio di uno di essi.

Bart Blaze, ricercatore di malware presso Panda Security, che ha analizzato il campione e fornito una panoramica tecnica in un post sul blog domenica, spiega che il link malevolo procede a scaricare un file di salvaschermo (estensione SCR), che è un eseguibile, da Google Drive; l’SCR si presenta come un’immagine e ha persino un’immagine come icona del file.

“Nota che normalmente, l’applicazione Google Drive Viewer verrà mostrata e questo ti permetterà di scaricare il file .scr. In questo caso, la stringa ‘&confirm=no_antivirus’ è aggiunta al link, il che significa che il file apparirà immediatamente chiedendo cosa fare: Esegui o Salva. (e in alcuni casi scarica automaticamente),” scrive.

Apparentemente, è troppo ovvio

Ora per la parte delle buone notizie. Questo attacco sembra essere così ben noto che la maggior parte degli antivirus disponibili è nota per proteggere contro di esso.

La maggior parte delle soluzioni antivirus rispettabili lo rileva e ne impedisce il download sul computer. 37 su 55 motori antivirus su VirusTotal non hanno problemi a metterlo in quarantena sul posto.

Nell’analisi del ricercatore, si nota che il malware si connette a un server ospitato nella Repubblica Ceca, dove le informazioni rubate vengono probabilmente caricate.

I segni delle informazioni di accesso all’account Steam compromesse tramite questa minaccia consistono nella presenza di un processo chiamato “temp.exe,” “wrrrrrrrrrrrr.exe,” “vv.exe,” o uno con un nome casuale in esecuzione sul sistema; questo può essere controllato con il Task Manager.

Non sembra che siano state intraprese azioni contro questo malware poiché il file esiste ancora sul servizio di archiviazione cloud di Google. Questa è l’unica ragione per cui gli utenti Steam potrebbero pensare che sia legittimo e cadere preda del malware.