Хакеры стали активно использовать крупнейшую игровую онлайн-площадку Steam для организации кибератак, выяснили эксперты центра исследования киберугроз Solar 4RAYS ГК «Солар». Злоумышленники создают аккаунты и прячут в их описании информацию о серверах управления вредоносным ПО, рассказали в компании журналистам из Forbes.
Такая хакерская техника называется Dead Drop Resolver: она предполагает, что злоумышленники размещают на легитимных онлайн-площадках контент с данными о C&C-сервере (С2, с него осуществляется управление вредоносным ПО). Эта информация может публиковаться как в зашифрованном виде, так и открытым текстом. Вредоносное ПО после заражения целевой инфраструктуры обращается к этому ресурсу и извлекает из него адрес управляющего сервера (С2).
Пока через Steam хакеры преимущественно распространяют вирусы-стилеры (вид вредоносного ПО для кражи паролей и другой учетной информации с цифровых устройств), однако схема может использоваться для любого вредоносного ПО. Среди сайтов, которые используют хакеры, также платформа для публикации текста или кода Pastebin, X (бывший Twitter, соцсеть заблокирована в России), YouTube, Telegram и другие.
«Dead Drop Resolver позволяет злоумышленникам создать более устойчивую C2-инфраструктуру, так как они могут в любой момент обновить информацию о доступном командном сервере. А обращение к легальному ресурсу из корпоративной сети не вызывает особых подозрений, — говорит аналитик центра исследования киберугроз Solar 4RAYS ГК «Солар» Владимир Степанов. — Также во вредоносном файле, который заражает компьютер жертвы, отсутствует явное указание на командный сервер или конфигурацию вредоносного ПО. Сейчас Steam особенно активно используется для распространения таких стилеров, как MetaStealer, Vidar, Lumma и ACR. Вероятно, со временем такой способ распространения подхватят и другие разработчики вредоносного ПО, если только площадки не найдут способ быстро обнаруживать и блокировать вредоносные профили».
Указанные стилеры крадут разнообразную информацию: учетные данные и данные браузера, установленный на устройстве софт, список запущенных на устройстве процессов, переписки в мессенджерах и почте, криптокошельки и другое. Последствия от запуска подобного вредоносного ПО в инфраструктуре могут быть критичными для компании. Поэтому службам безопасности компаний стоит внимательнее относиться к случаям запросов к Steam из корпоративной сети, рекомендуют эксперты. Скорее всего, это свидетельство деятельности вредоносного ПО.
С заботой о вашей безопасности, команда Origin Security
