На пользователей Steam охотится очередной троян

Александр Панасенко 29 Октября 2014 - 16:12

...

Осень 2014 года оказалась весьма богатой на вредоносные программы, угрожающие поклонникам компьютерных игр: в сентябре компания «Доктор Веб» уже сообщала о появлении троянца Trojan.SteamBurglar.1, воровавшего ценные игровые предметы у пользователей Dota 2.

По всей видимости, злоумышленники решили не останавливаться на достигнутом — вирусные аналитики «Доктор Веб» исследовали образец новой вредоносной программы с очень похожими функциональными возможностями, получившей наименование Trojan.SteamLogger.1. Эта программа может нанести серьезный ущерб поклонникам сразу нескольких популярных многопользовательских игр.

Данный троянец предназначен для похищения ценных артефактов у пользователей игр Dota 2, Counter-Strike: Global Offensive и Team Fortress 2. Также он обладает функциями кейлоггера, то есть способен фиксировать и передавать злоумышленникам нажатия клавиш на инфицированном компьютере. Можно предположить, что, как и его предшественник, Trojan.SteamLogger.1 распространяется на специализированных форумах или в чате Steam под видом предложения о продаже или обмене игровых предметов.

Вредоносная программа состоит из трех функциональных модулей: первый из них — дроппер — расшифровывает хранящиеся внутри него основной и сервисный модули, при этом сервисный модуль он сохраняет во временную папку под именем Update.exe и запускает его на исполнение, а основной загружает в память зараженного компьютера с использованием одного из системных методов. Затем сервисный модуль скачивает с сайта злоумышленников и сохраняет во временную папку картинку, которую сразу же выводит на экран инфицированного ПК:

Сервисный модуль проверяет наличие подпапки Common Files\Steam\ в директории, используемой по умолчанию для установки программ в Windows, и создает таковую при ее отсутствии. Затем этот модуль копирует себя в данную папку под именем SteamService.exe, устанавливает для собственного приложения атрибуты «системный» и «скрытый», после чего прописывает путь к указанному файлу в ветви системного реестра, отвечающей за автозагрузку программ, и запускает его на исполнение. Вслед за этим сервисный модуль отправляет прямой запрос на сайт злоумышленников, а в случае неполучения ответной команды «ОК» пытается установить соединение с управляющим центром через один из прокси-серверов, список которых хранится в теле троянца. На командный сервер Trojan.SteamLogger.1 передает сведения об инфицированном компьютере, такие как версия операционной системы, ее разрядность, а также уникальный идентификатор вредоносной программы, вычисляемый на основе серийного номера жесткого диска, на котором располагается логический раздел С. Помимо этого Trojan.SteamLogger.1 может получить от злоумышленников команду на обновление сервисного модуля.

После того, как основной модуль троянца Trojan.SteamLogger.1 будет запущен и инициализирован, он ищет в памяти зараженного компьютера процесс с именем Steam и проверяет, вошел ли пользователь в свою учетную запись. Если нет, вредоносная программа ожидает момента авторизации игрока, затем извлекает информацию об аккаунте пользователя Steam (наличие SteamGuard, steam-id, security token) и передает эти данные злоумышленникам. В ответ Trojan.SteamLogger.1 получает список учетных записей, на которые могут быть переданы игровые предметы с аккаунта жертвы. Всю собранную информацию троянец отправляет на сервер злоумышленников, затем проверяет, включена ли в настройках Steam автоматическая авторизация, и, если она отключена, в отдельном потоке запускает кейлоггер — собранные с его помощью данные пересылаются на сервер киберпреступников с интервалом в 15 секунд.

Для поиска инвентаря и ценных игровых предметов Trojan.SteamLogger.1 использует фильтры по ключевым словам "Mythical", "Legendary", "Arcana", "Immortal", "DOTA_WearableType_Treasure_Key", "Container", "Supply Crate". То есть, вредоносная программа пытается похитить наиболее ценные игровые предметы, ключи от сундуков и сами сундуки. При этом Trojan.SteamLogger.1 внимательно следит за тем, не пытается ли игрок продать что-либо из виртуальных предметов самостоятельно, и в случае обнаружения такой попытки старается воспрепятствовать этому, автоматически снимая артефакты с продажи.

Trojan.SteamLogger.1 угрожает, прежде всего, пользователям игр Dota 2, Counter-Strike: Global Offensive и Team Fortress 2, однако этот троянец легко может быть модифицирован для хищения артефактов и инструментария для других игр. Все похищенные виртуальные предметы он пересылает на один из игровых аккаунтов киберпреступников, сведения о которых получает с управляющего сервера. Затем злоумышленники пытаются реализовать самую дешевую часть похищенного — ключи от сундуков из игры Dota 2 — с использованием специально созданного ими для этих целей интернет-магазина. Как вирусописатели реализуют остальные игровые предметы, на данный момент остается не до конца ясным.

Следующая главная новость »

Атаки на цепочку поставок: как защититься до компрометации?
Регистрируйтесь на эфир!

Екатерина Быстрова 20 Апреля 2026 - 09:13

Android Домашние пользователи Системы аутентификации Биометрические системы аутентификации

Лицом к риску: Android-смартфоны разблокируются по фотографии владельца

Разблокировка смартфона по лицу, которой многие привыкли доверять, на деле может быть куда менее надёжной, чем кажется. Как выяснили эксперты Which, у большого числа современных Android-смартфонов защиту Face Unlock по-прежнему можно обойти с помощью самой обычной фотографии владельца.

Проблема, как отмечают исследователи, никуда не исчезла, а и в некоторых сценариях даже стала заметнее.

С октября 2022 года специалисты Which протестировали 208 смартфонов, и у 133 из них (64%), система распознавания лица оказалась уязвимой для простой 2D-фотографии. Причём в 2024 году ситуация даже ухудшилась: если в 2023-м тесты не прошли 53% проверенных устройств, то год спустя доля таких моделей выросла до 72%.

Под удар попали смартфоны самых разных брендов. В списке Asus, Fairphone, Honor, HMD, Motorola, Nokia, Nothing, OnePlus, Oppo, Realme, Samsung, Vivo и Xiaomi. Речь вовсе не о каких-то малоизвестных производителях, а о вполне массовом рынке.

Почему так происходит? Большинство Android-смартфонов, особенно в бюджетном и среднем сегментах, используют обычную 2D-систему распознавания лица. По сути, камера просто сравнивает плоское изображение, а значит, не всегда способна отличить живого человека от распечатанной фотографии или даже похожего на владельца человека.

На этом фоне более надёжно выглядят устройства с 3D-сканированием лица — например, iPhone с Face ID. Подобные системы строят карту глубины лица и поэтому заметно лучше защищены от подделок. Неплохо показали себя и некоторые Android-модели

Например, свежая серия Samsung Galaxy S26 успешно прошла последние тесты Which, хотя более ранние флагманы Galaxy S25 такую проверку проваливали. Исключением стали и последние Google Pixel 8, 9 и 10: формально у них тоже 2D-подход, но за счёт машинного обучения и более строгих требований к безопасности эти модели соответствуют высокому уровню защиты.

Отдельные претензии в Which адресовали тому, как производители предупреждают пользователей о рисках. По мнению организации, если функция разблокировки по лицу может быть обманута фотографией, об этом нужно прямо и ясно сообщать ещё на этапе настройки смартфона.

Но делают так далеко не все. В Which считают, что хуже всего с прозрачностью дела обстоят у Motorola и OnePlus: с октября 2022 года у этих двух брендов набралось 27 моделей, которые удалось обмануть фотографией, при этом адекватного предупреждения для пользователя там, по оценке экспертов, не было.

Под раздачу попали и новые игроки рынка. Например, Nothing не дала достаточных предупреждений ни для одного из пяти протестированных устройств.

Из-за этого В список вошли, в частности, Fairphone 6, Honor Magic6 Lite 5G, несколько смартфонов Motorola, модели Nothing Phone, OnePlus 13 и 13R, Nord 5 и CE5, а также некоторые устройства Oppo.

Атаки на цепочку поставок: как защититься до компрометации?
Регистрируйтесь на эфир!