Жестокие игры. Как преступники наживаются на геймерах?

В последние годы киберпреступники получили немалую прибыль от продажи украденных учетных записей и виртуальных игровых ценностей. Сегодня эта нелегальная деятельность стала неплохим источником дохода для беспринципных злоумышленников.



Онлайн-игры представляют собой сложную экономическую систему. Виртуальная торговля подчиняется законам экономики точно так же, как и торговля в реальном мире. Как и на любом рынке, здесь действуют законы спроса и предложения. Для геймеров не секрет, что продажа или обмен различных предметов является важной частью любой онлайн-игры. Для стимулирования этого процесса разработчики постоянно создают апдейты, аддоны и сервис-паки, включающие в себя новые миры, новых персонажей и, конечно, множество новых предметов.

На этих виртуальных ценностях, которые стоят вполне реальных денег, и стремятся нагреть руки киберпреступники. Для этого часто используются фишинг-сообщения, рассылаемые от имени администрации игры. В таких письмах обычно просят перейти по ссылке, ведущей якобы на игровой сайт (а на самом деле на его копию, созданную преступниками), где под каким-либо выдуманным предлогом — например, для подтверждения реальности аккаунта — вынуждают пользователя ввести свои логин и пароль. Эта информация позволяет мошенникам украсть игрового персонажа и перепродать с большой выгодой.

Специально созданные троянские программы стали еще одним инструментом, используемым для кражи учетных записей сразу к нескольким онлайн-играм. Такой подход многократно повышает шансы мошенников на успех (ведь геймеров среди онлайн-пользователей не так уж много, поэтому для достижения результата надо заразить большое число машин). Анализ географического распределения атак выявляет их «азиатский след» — большая часть такого ПО создается в Китае, где онлайн-игры особенно популярны.

Однако картина потихоньку меняется. В 2004 году вышла знаменитая MMORPG World of Warcraft. Игровые предметы или персонажей из WoW можно было продать за хорошую цену на аукционах или в интернет-магазинах. Постепенно количество и доступность ценностей выросла. Одновременно увеличилось и игровое сообщество, а значит цены на игровые ценности оставались довольно стабильными. Тем не менее, в 2007 году рынок начал насыщаться.

«Потенциальная прибыль на одного игрока рынка (и, соответственно, мотивация киберпреступников) в последнее время значительно уменьшилась, — утверждает в статье Кристиан Функ. — Количество киберпреступников на рынке продолжало расти, а оборот падал. В результате число новых вредоносных программ по сравнению с предыдущими годами стало снижаться — возможно, многие злоумышленники потеряли интерес к этому рынку. Тем не менее, и по сей день «Лаборатория Касперского» ежесуточно детектирует более 3,44 миллиона кибератак на геймеров — цифра весьма показательная для оценки риска».

Источник

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Закрытая в сентябре уязвимость Windows объявилась в реальных кибератаках

В этом месяце Microsoft устранила в Windows уязвимость под идентификатором CVE-2024-43461. Теперь стало известно, что брешь используется в целевых атаках киберпреступной группировки Void Banshee.

На прошлой неделе мы писали про сентябрьские патчи, в том числе закрывшие CVE-2024-43461 — возможность спуфинга в платформе Windows MSHTML. На тот момент проблема получила статус важной.

Исследователь из команды Trend Micro Zero Day Питер Гирнус, обнаруживший эту уязвимость, сообщил об её использовании для установки вредоносной программы, похищающей данные жертвы (инфостилер).

Судя по всему, за этими атаками стоит группировка Void Banshee. В Trend Micro давно отслеживают деятельность этих злоумышленников, атакующих организации в Северной Америке, Европе и Юго-Восточной Азии. Void Banshee интересует исключительно финансовая сторона хакинга.

Согласно отчёту Check Point, атакующие используют специально подготовленные файлы с расширением .url. Если получатель кликнет на таком файле, запустится уже отживший своё «ослик» — Internet Explorer (IE), после чего откроется вредоносный URL-адрес.

Эти ссылки используются для загрузки HTA-файла, который получателя заставляют открыть. Именно так запускается скрипт, устанавливающий в систему инфостилер Atlantida.

Интересно, что в зафиксированных атаках Void Banshee применялись файлы HTA, включавшие 26 закодированных пробела Брайля (%E2%A0%80), чтобы скрыть само расширение — .hta.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru