Вирус BloodyStealer и аккаунты геймеров в даркнете | Блог Касперского

BloodyStealer крадет информацию из клиентов Steam, Origin и других игровых магазинов. Разбираем, что это за вирус и какие данные геймеров в ходу в даркнете.

В марте этого года на одном из подпольных форумов наши эксперты обнаружили рекламу зловреда, который его авторы окрестили BloodyStealer.

Согласно объявлению, он крадет различные данные с зараженного устройства:

• Пароли, куки, данные банковских карт и автозаполнения форм из браузеров.
• Данные об устройстве.
• Скриншоты.
• Файлы с рабочего стола и из клиента uTorrent.
• Сессии в клиентах Bethesda, Epic Games, GOG, Origin, Steam, Telegram и VimeWorld.
• Логи.

Объявление о продаже BloodyStealer

Нам показалось любопытным, что большая часть перечисленных программ так или иначе связана с играми — это говорит о том, что игровые аккаунты и их содержимое востребованы на черном рынке. Мы решили изучить в деталях, чем именно рискуют геймеры.

BloodyStealer покоряет мир

Хотя BloodyStealer — сравнительно новый зловред, он активно путешествует по миру. По нашим данным, с ним уже столкнулись пользователи в Европе, Латинской Америке и Азиатско-Тихоокеанском регионе. Это неудивительно, если учесть тот факт, что он распространяется по модели «зловред как услуга» (MaaS), то есть продается всем желающим, причем по сравнительно доступной цене: 700 рублей в месяц или 3000 за пожизненную лицензию.

Помимо собственно воровской функциональности зловред оснащен набором средств защиты от анализа (подробнее о них вы можете прочитать в нашем исследовании). Украденную информацию он отправляет в виде ZIP-архива на командный сервер, защищенный от DDoS и других веб-атак. Получить доступ к данным, в том числе к игровым аккаунтам, злоумышленники могут с помощью панели управления с довольно простым интерфейсом или же через Telegram.

Не BloodyStealer единым

BloodyStealer — лишь один из многих гуляющих по даркнету инструментов для кражи игровых аккаунтов. Злоумышленники продают и другие зловреды, причем многие из них присутствуют на рынке дольше, чем BloodyStealer. Кроме того, на подпольных форумах можно найти предложения за деньги разместить ссылку на зловред на популярном сайте или приобрести инструмент для автоматической генерации фишинговых страниц.

Злоумышленник продает фишинговый инструмент BlackMafia для создания поддельных страниц PUBG

Все эти инструменты позволяют киберпреступникам собрать огромное количество учетных данных, которые они в дальнейшем пытаются монетизировать. В даркнете можно встретить самые разные предложения, связанные с игровыми аккаунтами.

Логи: доступ оптом

Один из самых ходовых товаров — так называемые «логи», то есть базы с большим количеством данных для входа в аккаунты. В объявлении злоумышленники могут указывать типы данных, географию пользователей, период, за который собраны логи, и другие подробности. Например, на скриншоте ниже участник подпольного форума предлагает архив c 65,6 тысячи записей, из которых девять тысяч связаны с пользователями из США, а еще пять — с жителями Индии, Турции и Канады. Стоимость всего набора — 150 долларов, то есть по 0,2 цента за одну запись.

Объявление в даркнете о продаже логов за август 2021 года

При этом логи могут содержать устаревшую или даже вообще бесполезную информацию, а покупателю хочется гарантий, что он приобрел не пустышку. Поэтому некоторые продавцы предлагают проверку логов на предмет актуальности.

Еще одно объявление в даркнете: злоумышленник продает свежие логи по 300 долларов за 1000 записей

Аккаунты геймеров, игры и инвентарь

Помимо логов злоумышленники продают доступ к конкретным аккаунтам, как в розницу, так и оптом. Особую ценность представляют учетки, в которых куплено много игр, аддонов и дорогих предметов. Обычно киберпреступники продают их с огромными скидками, чтобы покупателю выгоднее было заплатить им, а не легальным продавцам игр.

Злоумышленник продает 280 тысяч игровых аккаунтов всего за 4000 долларов

Торгуют и содержимым аккаунтов — тоже значительно дешевле, чем его реальная стоимость. Так, в даркнете можно найти Need for Speed и другие игры менее чем за 50 центов.

Игры из краденых аккаунтов продаются за бесценок

Внутриигровые предметы тоже в ходу. Главное, чтобы настройки украденной учетки позволяли дарить инвентарь покупателям, не привлекая внимания пользователя, — то есть без запроса подтверждения по электронной почте или иным каналам.

Скины со скидкой на черном рынке

Как не стать жертвой BloodyStealer и других воров

Распродажа игр и внутриигровых предметов — не единственная проблема, которая может ждать владельца украденного аккаунта. Воры или покупатели — для жертвы большой разницы нет — могут использовать учетку для отмывания денег, распространения фишинговых ссылок и других нелегальных действий. Чтобы не стать жертвой киберпреступников, стоит позаботиться о безопасности своих аккаунтов и устройств.

• Защитите учетные записи надежным паролем, включите двухфакторную аутентификацию и в целом извлеките максимум из настроек безопасности платформы. Если в них сложно разобраться, то у нас есть инструкции для пользователей Steam, Battle.net, Origin, Twitch и Discord.
• Скачивайте приложения только из официальных источников — так вероятность подхватить BloodyStealer или другого зловреда минимальна.
• С осторожностью относитесь к ссылкам в письмах и сообщениях от незнакомцев.
• Прежде чем вводить где-то свои учетные данные, убедитесь, что вы действительно находитесь на том сайте, на который хотите залогиниться.
• Используйте надежное защитное решение. Например, Kaspersky Security Cloud обнаруживает и блокирует BloodyStealer и при этом не мешает играть.

27.09.2021