Фальшивый сайт голосового чата для игр в Steam распространяет шпионское ПО

Фальшивый сайт голосового чата Steam, распространяющий вредоносное ПО

Игроки, принадлежащие к онлайн-сообществу Steam, снова становятся мишенью для атак вредоносного ПО, и на этот раз киберпреступники используют фальшивую версию сервиса голосового чата Razer Comms для распространения вредоносного ПО.

Сайт, посвященный обнаружению вредоносного ПО, Malwarebytes, обнаружил фальшивый URL-адрес Steam Community, steamccommynity(.)com. Как сообщает Malwarebytes, сайт дублирует сайт Razer Comms и предлагает фишинговые ссылки, маскирующиеся под переходы к различным внутриигровым предметам для пользователей Steam.

Исследователь Malwarebytes Кристофер Бойд заявил в блоге, что: «Сайт функционирует аналогично настоящему [сайту Razer Comms], а также ссылается на (легитимное) мобильное приложение в Google Play. Однако нажатие кнопки загрузки для Windows приведет к тому, что потенциальные жертвы получат поддельный файл вместо настоящего исполняемого файла Razer Comms.»

Malwarebytes отмечает, что сайт еще не завершен и содержит множество ошибок, из-за чего он не смог выполнить свою шпионскую миссию.

«Мы не увидели, чтобы данные были украдены во время тестирования — скорее всего, из-за ошибок — но это не значит, что более надежный файл не заменит его в какой-то момент,» сказал Бойд.

Malwarebytes сообщил, что вредоносное ПО на сайте похоже на файл, связанный с кражей паролей на VirusTotal. Сайт также содержит некий «инструмент для рыбалки в Steam».

Malwarebytes проследил авторов вредоносного ПО до российского игрового портала. Этот игровой портал предлагает целый ряд хакерских услуг пользователям и включает «скачивание всех логов в временный текстовый файл», «выдачу дополнительных аккаунтов для спамера», «поддельную геолокацию», «выбор языков», «защиту от блокировок» в отношении использования Google Chrome и потенциальный «вирус Kriptovat».

Игровой портал также довольно дорогой, российская хакерская группировка требует до 1,000 WMR в неделю за свои услуги или 3,500 за месяц.

«WMR, похоже, является формой безопасного онлайн-платежа, хотя я совершенно не знаком с ним и колеблюсь, чтобы привести эквивалентную сумму к тому, сколько реальных денег вы бы спрятали под кроватью,» сказал Бойд.

WMR, согласно русской странице в Википедии, является неким средством обмена через Интернет.

Бойд заявил, что игры предлагают неплохую приманку для обработчиков/авторов вредоносного ПО, так как игровое сообщество широко распространено.

«В большинстве случаев, которые мы видим, цель игры — заманить жертву за пределы окна торговой системы,» сказал он. «Если вам отправляют ссылки на ‘предварительные просмотры’ предметов в чате Steam от незнакомцев, которые начали писать вам десять минут назад? Вы можете оказаться на пути к плохому дню. Независимо от того, имеем ли мы дело со ссылками на исполняемые файлы, так называемыми изображениями внутриигровых предметов, которые оказываются файлами .scr, страницами входа, запрашивающими ваши учетные данные и/или загрузками вашего SSFN, вы должны сделать все возможное, чтобы избежать их всех.»

Если вы игрок, держитесь подальше от ненадежных страниц или ссылок, предлагающих что-то бесплатно.