28 ottobre 2014

L’autunno del 2014 si è verificato ricco di programmi malevoli che attaccano utenti di giochi per computer: così a settembre Doctor Web ha comunicato della comparsa del programma Trojan.SteamBurglar.1 che rubava oggetti virtuali di valore dagli utenti di Dota 2. A quanto pare, i malintenzionati non si sono fermati qui e hanno creato un nuovo programma malevolo con le funzioni molto simili. Gli specialisti Doctor Web hanno studiato il nuovo Trojan.SteamLogger.1. Questo programma può causare gravi danni agli utenti di una serie di giochi multiutenti.

Questo trojan è studiato per il furto di articoli virtuali di valore dagli utenti dei giochi Dota 2, Counter-Strike: Global Offensive e Team Fortress 2. Inoltre, esso dispone delle funzioni keylogger, cioè può registrare le sequenze di tasti premute dall’utente sulla tastiera del computer infetto e trasmetterle ai malintenzionati. Possiamo ipotizzare che, come la sua versione precedente, il Trojan.SteamLogger.1 venga distribuito sui forum specializzati o nella chat Steam camuffato da un’offerta di vendita o di scambio di oggetti di gioco.

Il programma malevolo è composto da tre moduli: il primo di essi è un dropper che decifra il modulo principale e il modulo di servizio che sono conservati dentro di esso. Il dropper salva il modulo di servizio nella cartella temporanea sotto il nome Update.exe e lo avvia e carica in memoria il modulo principale utilizzando uno dei metodi di sistema. In seguito il modulo di servizio scarica un’immagine dal sito dei malintenzionati e la salva nella cartella temporanea, dopodiché la visualizza sullo schermo del pc infetto:

Il modulo di servizio controlla la disponibilità della sottodirectory Common Files\Steam\ nella directory utilizzata di default per l’installazione di programmi in Windows e la crea se assente. In seguito il modulo malevolo si copia in questa directory utilizzando il nome SteamService.exe, imposta per la propria applicazione gli attributi “di sistema” e “nascosto”, dopodiché trascrive il percorso del file sopraccitato nel ramo del registro di sistema responsabile dell’esecuzione automatica di programmi e avvia questo file. In seguito, il modulo invia una query diretta sul sito dei malintenzionati, e se non riceve come risposta il comando “OK”, cerca di stabilire la connessione con il server di controllo attraverso uno dei proxy memorizzati in una lista nel corpo del trojan. Il Trojan.SteamLogger.1 trasmette sul server di controllo informazioni sul computer infetto, quali la versione del sistema operativo, il numero di bit dello stesso, l’identificatore unico del malware calcolato sulla base del numero di serie del disco rigido su cui si trova la partizione logica C. Oltre a questo, il Trojan.SteamLogger.1 può ricevere dai malintenzionati il comando di aggiornare il modulo di servizio.

Dopo che il modulo principale del Trojan.SteamLogger.1 è stato avviato ed inizializzato, esso cerca nella memoria del computer infetto il processo Steam e controlla se l’utente ha accesso al suo account. Se no, il programma malevolo aspetta il momento quando il giocatore si autentica, poi estrae le informazioni sull’account utente di Steam (disponibilità di SteamGuard, steam-id, security token) e le manda ai malintenzionati. Come risposta, il Trojan.SteamLogger.1 riceve una lista degli account su cui esso può trasmettere gli oggetti di gioco dall’account della vittima. Il trojan manda tutte le informazioni raccolte sul server dei malintenzionati, quindi controlla se nelle impostazioni di Steam è attivata l’autenticazione automatica, e se è disattivata, avvia il keylogger in un thread separato — le informazioni raccolte con l’ausilio del keylogger vengono trasmesse sul server dei criminali informatici con un intervallo di 15 secondi.

Per cercare attrezzi e oggetti di gioco di valore, il Trojan.SteamLogger.1 utilizza filtri per parole chiave "Mythical", "Legendary", "Arcana", "Immortal", "DOTA_WearableType_Treasure_Key", "Container", "Supply Crate". Vuol dire che il programma malevolo prova a rubare gli oggetti di gioco più preziosi, per esempio chiavi di cofani e cofani stessi. Il Trojan.SteamLogger.1 controlla se l’utente prova a vendere qualche articolo virtuale e se scopre tale tentativo, cerca di ostacolarlo togliendo gli articoli dalla vendita in automatico.

Il Trojan.SteamLogger.1 è progettato soprattutto per gli attacchi contro gli utenti di Dota 2, Counter-Strike: Global Offensive e Team Fortress 2, però questo trojan può essere trasformato facilmente in uno strumento di furto di articoli virtuali in altri giochi. Il trojan trasmette tutti gli articoli virtuali rubati su uno degli account di gioco dei criminali informatici, di cui le informazioni esso riceve dal server di controllo. In seguito, i truffatori provano a vendere gli articoli meno preziosi — chiavi di cofani dal gioco Dota 2 — utilizzando un negozio online appositamente creato da essi per questo scopo. Attualmente non è completamente chiaro come i malintenzionati vendono gli altri oggetti di gioco.

La firma antivirale del Trojan.SteamLogger.1 è stata aggiunta ai database dei virus Dr.Web, quindi gli utenti dei programmi antivirus Doctor Web sono protetti in modo sicuro contro questa minaccia informatica.