Вредоносное ПО для кражи паролей, хранящееся на Google Drive, доставляется пользователям Steam в интернете

Вредоносное ПО для кражи паролей, хранящееся на Google Drive, доставляется пользователям Steam в интернете

Недавно появилось вредоносное ПО, целью которого является кража учетных данных пользователей STEAM. Это вредоносное ПО распространяется через функцию чата сервиса.

Оно предлагает пользователям кликнуть по ссылке, которая укорочена с помощью доступных в интернете сервисов сокращения ссылок.

Когда пользователь нажимает на нее, он перенаправляется на файл, хранящийся на Google Drive. Файл выглядит как изображение, с иконкой изображения на нем. На самом деле этот файл является исполняемым и украдет ваши учетные данные Steam после выполнения.

Содержание

• Очевидная атака
• Видимо, это слишком очевидно

Очевидная атака

Если вы знакомы с вредоносными программами, этот процесс, вероятно, показался бы вам самым очевидным трюком в книге.

Потому что это так. Но если мы об этом сообщаем, это показывает, что иногда даже самые очевидные атаки могут стать жертвами. Большинство геймеров осведомлены о таких атаках вредоносного ПО и всегда достаточно бдительны, чтобы избегать вредоносных сайтов.

Но иногда люди все же становятся жертвами, как это произошло в этом случае много раз.

Как уже упоминалось, большинство геймеров знают о ссылках, содержащих вредоносное ПО, которые распространяются в чатах. Часто ссылки становятся предметом шуток в чате Steam, потому что многие геймеры осведомлены об этом. Вот пример одной из них.

Барт Блейз, исследователь вредоносного ПО в Panda Security, который проанализировал образец и предоставил технический обзор в блоге в воскресенье, объясняет, что вредоносная ссылка загружает файл заставки (расширение SCR), который является исполняемым, с Google Drive; SCR притворяется изображением и даже имеет изображение в качестве иконки файла.

“Обратите внимание, что обычно будет показано приложение Google Drive Viewer, и это позволит вам загрузить файл .scr. В этом случае к ссылке добавляется строка ‘&confirm=no_antivirus’, что означает, что файл сразу же появится с вопросом, что делать: Запустить или Сохранить. (и в некоторых случаях загружаться автоматически),” пишет он.

Видимо, это слишком очевидно

Теперь о хороших новостях. Эта атака кажется настолько известной, что большинство доступных антивирусов известны своей защитой от нее.

Большинство авторитетных антивирусных решений обнаруживают ее и предотвращают загрузку на компьютер. 37 из 55 антивирусных движков на VirusTotal без труда помещают ее в карантин на месте.

В анализе исследователя отмечается, что вредоносное ПО подключается к серверу, размещенному в Чехии, куда, вероятно, загружается украденная информация.

Признаки того, что информация для входа в учетную запись Steam скомпрометирована через эту угрозу, заключаются в наличии процесса с именем “temp.exe,” “wrrrrrrrrrrrr.exe,” “vv.exe,” или одного с случайным именем, работающего в системе; это можно проверить с помощью Диспетчера задач.

Не кажется, что были предприняты какие-либо действия против этого вредоносного ПО, так как файл все еще существует в облачном хранилище Google. Это единственная причина, по которой пользователи Steam могут считать его легитимным и стать жертвами вредоносного ПО.