« Toutes vos informations d’authentification nous appartiennent »

Evolution du malware qui attaque les comptes et les objets Steam

Contenu

 Télécharger le rapport complet (en anglais)

Avec ses revenus annuels qui dépassent 100 milliards de dollars, le secteur du jeu a, par le passé, été comparé à l’activité florissante d’Hollywood en raison de la démonstration continue de l’influence sur la base de ses admirateurs loyaux qui ne cesse de s’élargir. Les plateformes numériques, qui permettent la coexistence pacifique des « grosses productions » et des jeux « indépendants » plus modestes, mais tout aussi amusants, constituent un moyen pratique et juste pour acheter de nouveaux jeux.

La plateforme de distribution numérique Steam de Valve, compatible avec plusieurs systèmes d’exploitation, qui compte plus de 140 millions d’utilisateurs enregistrés et un catalogue de plus de sept milles jeux à télécharger, offre une multitude de possibilité aux joueurs. Notamment, la disponibilité des jeux les plus récents dans un environnement cloud toujours accessible et une communauté sans cesse croissante d’individus qui partagent la même passion. Steam enregistre une croissance stable d’utilisateurs actifs qui s’enregistre sur la plateforme. Chacun de ces nouveaux utilisateurs achète le contenu à l’aide d’une carte de crédit, partage volontairement des informations personnelles et échange des articles avec d’autres joueurs via des transactions au sein des jeux ou lors d’enchères conventionnelles. Les chercheurs en sécurité ont malheureusement ignoré les malwares pour jeux car ils ont toujours estimé qu’aucun élément de valeur n’était échangé dans ces communautés. Les cybercriminels exploitent ces lacunes pour voler de l’argent et causer des dommages bien réels.

steam_pr

Tout le monde s’amuse jusqu’au jour où un compte est piraté.

Des groupes issus de la criminalité organisée d’Europe de l’Est ont été particulièrement attentifs à l’augmentation du nombre d’utilisateurs de Steam ainsi qu’aux mesures et techniques de sécurité offertes par la société. Ils attendaient patiemment qu’une porte s’ouvre. Comme dans la majorité des réseaux sociaux, il existe de nombreux profils qui ne dévoilent pas leur nature véritable, qui masquent les données personnelles et les informations de paiement derrière une identité ou une persona numérique soigneusement échafaudée ; ou, comme le dirait Jung : « Une espèce de masque, fabriqué d’une part pour créer une certaine impression sur les autres et d’autre part, pour dissimuler la nature vraie de l’individu ». Mais que se passe-t-il lorsque le masque tombe soudainement ? Quand votre compte et toutes les informations sensibles qui y sont associées tombent dans les mains d’un tiers inconnu ? Il est étonnant de constater que d’après les propres statistiques de Steam, ce cauchemar devient une réalité pour près de 77 000 utilisateurs chaque mois. L’estimation de l’impact financier est par contre plus difficile car rien n’oblige Steam à divulguer ces informations. S’il est vrai qu’il existe plusieurs communautés en ligne (comme SteamSpy ou SteamCompanion qui aident les joueurs à calculer les montants qu’ils ont dépensés, nous n’avons trouvé aucun système qui conservent un historique afin de pouvoir calculer une valeur moyenne. A vue de nez, sur la base des divulgations de mots de passe, la valeur des informations d’authentification serait de seulement 15 dollars américains par utilisateur sur le marché noir.

Ceci étant dit, ceci n’est que le coût de l’accès au profil de la victime. Les actions ultérieures des individus malintentionnés pourraient produire des gains encore plus importants, selon les utilisateurs.

Toutes vos informations d'authentification nous appartiennent

Un stealer caractéristique qui prétendait « révolutionner » le secteur du vol d’objets Steam, son site est hors ligne depuis un certain temps et son compte Twitter est, en gros, mort. Mais sa présence se fait toujours sentir avec le malware qui circule toujours dans la nature.

Bien que le phishing et le harponnage constituent des modes d’attaques privilégiés par les spécialistes les plus actifs de l’ingénierie sociale dans les recoins les plus sombres d’Internet, le principal suspect dans le pillage d’un grand nombre de comptes utilisateurs de la célèbre plateforme de Valve serait une nouvelle classe de malware baptisée « Steam Stealer« . Ces malwares de vol d’identifiants, qui ont évolué bit par bit au départ d’un code source publié sur un forum russe, sont devenus très populaires après que des criminels du monde entier ont démontré à quel point ils pouvaient être rentables. Ces malwares sont vendus sous différentes versions, avec des fonctionnalités distinctes, des mises à jour gratuites, des manuels d’utilisateurs, des conseils personnalisés sur la distribution et bien d’autres choses encore. Ils ont transformé le panorama des menaces dans l’écosystème du divertissement en une cour infernale.

Toutes vos informations d'authentification nous appartiennent

Une copie presque parfaite du site du client de messagerie pour joueurs Razer Comms qui, avec TeamSpeak, est une des méthodes les plus souvent employées pour tromper les victimes et les amener à installer ce type de malware.

Une des raisons qui peut expliquer la croissance de malwares qui visent spécifiquement les joueurs est la simplicité de leur utilisation et l’offre généralisée. L’accent mis sur la vente de malwares de vol d’identifiants à toute personne qui a de l’argent à dépenser signifie qu’un nombre époustouflant de script kiddies et d’individus privés de connaissances techniques utilisent ce type de menaces comme malware de prédilection pour entrer dans le monde de la cybercriminalité.

Toutes vos informations d'authentification nous appartiennent

Tout ce dont ils ont besoin est proposé dans un ensemble simple, prêt à l’emploi et accompagné de toute la documentation requise. Différentes fonctions sont offertes au sein de chaque package de Steam Stealer, à partir de 15 dollars américains.

L’ajout de nouvelles fonctions n’a rien de compliqué. Le développeur moyen doit simplement choisir son langage de programmation préféré et en savoir juste assez sur le design et le protocole du client Steam. Il existe de nombreuses API et bibliothèques qui garantissent une interface transparente avec la plateforme Steam, ce qui réduit considérablement les efforts requis. Il n’est pas rare de voir des individus malintentionnés qui utilisent des outils légitimes et des bibliothèques open source dans le cadre de leurs projets néfastes, bien que dans ce cas, les possibilités sont bien trop tentantes pour les transmettre à d’autres.

Toutes vos informations d'authentification nous appartiennent

Pour 3 dollars américains, vous pouvez obtenir les droits d’utilisation d’un malware de vol d’identifiants pour la plateforme Steam. Pour 7 dollars américains, vous obtiendrez en plus le code source et un manuel d’utilisateur.

Toutes les étapes du processus, depuis la diffusion initiale du malware jusqu’à l’obtention d’un profit après l’infection, sont documentées dans les nombreux manuels disponibles en ligne (et payants, bien entendu). Dans ce modèle d’activité, tout a un prix et chaque individu fournit de gros efforts pour rendre son offre plus attrayante pour les clients potentiels. Le malware en tant que service n’est pas une pratique révolutionnaire. Toutefois, pour ce genre de campagnes malveillantes, les prix de départ tournent en général aux alentours de 500 dollars américains (en prenant comme référence les marchés antérieurs du ransomware en tant que service).

gamers_short_fr_5

Le marketing occupe une place importante dans le « secteur du vol d’identifiants ».

Dans le cas des malwares de la catégorie Steam Stealer, les apprentis criminels doivent payer un prix ridiculement bas pour utiliser le malware. Pour un coût supplémentaire, il est possible d’obtenir le code source et un manuel d’utilisation, ce qui rend l’ensemble risible et terrifiant à la fois. Bien entendu, les prix cités ci-dessus appartiennent au bas de la fourchette des prix pratiqués dans le « secteur ». Toutefois, vous trouverez difficilement un malware de vol d’identifiants vendu pour plus de 30 dollars. La concurrence est tellement rude dans cette niche que le cybercriminel qui n’est pas disposé à faire des efforts pourra difficilement gagner de l’argent.

Tendances passées et actuelles

Si on analyse l’évolution des malwares de la catégorie Steam Stealer depuis le malware « de base » jusqu’à sa propagation dans l’ensemble d’Internet, on peut estimer que l’activité est en effet en plein essor.

Au début, l’obfuscation était totalement inexistante et il arrivait parfois que les informations d’authentification pour FTP et SMTP soient envoyées en clair. Petit à petit, les malwares de vol d’identifiants et l’ingénierie sociale qui les accompagne se sont améliorés : les captures d’écran étaient de meilleure qualité, les copies de sites ont été améliorées, les méthodes de livraison se sont diversifiées et les bots ont imité de mieux en mieux le comportement humain.

Voici une brève liste des tendances passées :

  • Utilisation d’obfuscateurs pour compliquer l’analyse et la détection.
  • Utilisation d’extensions de fichiers masqués par défaut par Windows (faux fichiers « d’économiseur d’écran »).
  • Ajout de l’utilisation de NetSupport (pour offrir un accès à distance à l’attaquant).
  • Utilisation de faux serveurs TeamSpeak.
  • Utilisation du contournement automatique des captchas (DeathByCaptcha et autres).
  • Utilisation de faux serveurs de jeux (Counter-Strike : Global Offensive parmi les plus connus).
  • Utilisation de Pastebin pour récupérer le Steam Stealer.
  • Utilisation de faux sites de capture d’écran copiant Imgur, LightShot ou SavePic.
  • Utilisation de faux logiciels vocaux copiant TeamSpeak, RazerComms et d’autres.
  • Utilisation de service de raccourcissement d’URL comme bit.ly.
  • Utilisation de Dropbox, Google Docs, Copy.com ou autres pour héberger le malware.

Les tendances actuelles sont les suivantes :

  • Utilisation de fausses extensions Chrome ou JavaScript, arnaques via des sites de paris.
  • Utilisation de faux sites de pari, y compris de faux bots de dépôt.
  • Utilisation de wrappers AutoIT pour compliquer l’analyse et la détection.
  • Utilisation de trojans d’accès à distance comme NanoCore ou DarkComet.

La liste n’est pas définitive dans la mesure où 2016 vient à peine de commencer.

Télécharger le rapport complet (PDF en anglais)

Le secteur du vol d’identifiants Steam en chiffres

Les statistiques proposées ci-après portent sur la période comprise entre le 1er janvier 2015 et le 1er janvier 2016 et se concentrent sur les familles de malware les plus présentes pour la catégorie Steam Stealer. Ceci étant dit, comme de nombreuses détections sont réalisées via analyse heuristique ou par différents verdicts génériques, l’ampleur du problème est beaucoup plus importante et il est difficile de la mesurer avec précision. Le pourcentage d’utilisateurs infectés est calculé uniquement pour les pays dans lesquels plus de 1 000 détections au cours de la période définie (référence) ont été comptabilisées.

Statistiques pour Trojan-Downloader.MSIL.Steamilik

gamers_short_fr_6

Répartition géographique de Trojan-Downloader.MSIL.Steamilik

gamers_short_fr_7

Trojan-Downloader.MSIL.Steamilik, % des utilisateurs infectés

Les malware de la catégorie Trojan-Downloaders peuvent télécharger et installer de nouvelles versions de malware sur l’ordinateur de la victime, y compris d’autres trojans ou des logiciels publicitaires énervants. Grâce à cette infection en deux étapes, les individus malintentionnés peuvent répartir les composants dans différents modules et créer un downloader initial dont les fonctions sont limitées mais qui pourra récupérer du contenu malveillant une fois que la validité de l’environnement aura été confirmée.

Statistiques pour Trojan.MSIL.Steamilik

gamers_short_fr_8

Répartition géographique de Trojan.MSIL.Steamilik

gamers_short_fr_9

Trojan.MSIL.Steamilik, % des utilisateurs infectés

Cette vaste catégorie de trojans contient des malwares qui exécutent des actions qui n’ont pas été autorisées par l’utilisateur. Il convient de noter la sous-catégorie MSIL qui représente une assemblée .NET. L’augmentation du nombre de trojans et l’utilisation de plus en plus répandue du cadre de développement phare de Microsoft sont associés, ce qui simplifie la vie de tous les développeurs, y compris ceux dont les intentions ne sont pas nettes.

Statistiques pour Trojan-PSW.MSIL.Steam

gamers_short_fr_10

Répartition géographique de Trojan-PSW.MSIL.Steam

gamers_short_fr_11

Trojan-PSW.MSIL.Steam, % des utilisateurs infectés

Les malware Trojan-PSW sont conçus pour voler les informations des comptes utilisateurs comme les noms d’utilisateurs et les mots de passe sur les ordinateurs infectés. Une fois exécutés, les PSW ou Password Stealing Ware (malware de vol de mots de passe) recherchent des fichiers particuliers qui stockent un large éventail de données confidentielles ou la base de registres. Quand le trojan trouve des données qui l’intéressent, il les envoie à son « maître ». Les données volées peuvent être transmises par courrier électronique, FTP, Internet (dont les données dans une requête) ou d’autres méthodes. Le Brésil a attiré notre attention en décrochant la deuxième position dans cette catégorie de malware derrière la Fédération de Russie. Il est vrai que l’écosystème des malware en Amérique latine est en pleine expansion et les joueurs ne sont pas épargnés.

gamers_short_fr_12

Type d’obfuscateur utilisé

Grâce à un large choix d’obfuscateurs que les cybercriminels peuvent utiliser pour protéger leur propriété intellectuelle et à un déclin dans les détections par les solutions de sécurité, ils adoptent des projets open source comme « ConfuserEx » (héritier du tristement célèbre projet Confuser), voire des obfuscateurs disponibles dans le commerce pour .NET Framework comme SmartAssembly. Le calcul des statistiques précédentes sur les obfuscateurs reposent sur un groupe comptant plus de 1 200 échantillons collectés à l’aide de différentes méthodes. Tous les hash de cette collection seront téléchargés dans notre référentiel IOC accessible au public.

Réactions de Valve

Valve a reconnu l’existence du problème et s’il est vrai qu’on note une amélioration progressive dans le nombre de mesures de protections mises en œuvre, les malware Steam Stealer rôdent toujours et de nombreux utilisateurs vont se demander à un moment donné ce qu’il s’est passé. Parmi les nouvelles mesures de sécurité, plusieurs ont été adoptées pour l’ensemble du réseau tandis que d’autres peuvent être aisément configurées pour votre compte afin d’éviter ce genre d’incident et profiter d’une session de jeu sécurisée :

  • L’authentification à deux facteurs par email ou l’application mobile Steam Guard.
  • Blocage d’URL dans Steam.
  • Censure des pseudos (Steam/Valve).
  • Captcha sur les échanges (brièvement), puis contournés.
  • Introduction des comptes restreints.
  • Confirmations par email de Steam pour utiliser le marché et échanger des articles.
  • Vérification des adresses email.
  • Achat de 5 USD pour lutter contre les comptes « d’abus gratuit » (étendu aux comptes restreints).
  • Informations sur l’autre partie à la transaction (dossier)
  • L’accès au marché sera bloqué en cas de connexion depuis de nouveaux appareils, en cas de modification du mot de passe du profil, etc.
  • Confirmation des transactions Steam par mobile.
  • Récupération d’un compte Steam via téléphone.
  • Restriction des chats pour les utilisateurs avec lesquels vous n’avez pas d’amis en communs, avec lesquels vous ne partagez pas de serveur de jeux ou qui n’appartiennent pas à un chat multiutilisateurs où vous vous trouvez.
  • Blocage plus restrictif des sites de spam et d’arnaque.
  • Durée du délai d’échange (15 jours).

Au niveau des mesures de préventions, nous encourageons les utilisateurs à se familiariser aux mises à jour et aux nouvelles fonctions de sécurité de Steam et d’activer au moins l’authentification à deux facteurs via Steam Guard. N’oubliez pas que la propagation s’opère principalement, mais pas uniquement, via de faux sites clonés qui distribuent le malware ou via l’ingénierie sociale et l’envoi de messages directs à la victime. Maintenez votre solution de protection à jour et ne la désactivez jamais ; la majorité des solutions proposées à l’heure actuelle possède un « mode jeu » qui vous permet de jouer sans être interrompu par les notifications. Nous avons cité toutes les options que Steam propose aux utilisateurs pour protéger leurs comptes. N’oubliez pas que les cybercriminels sont intéressés par le volume et si votre cas est trop compliqué, il passeront à la cible suivante. Si vous suivez ces recommandations de base, vous ne vous ne serrez pas une proie facile.

Et si vous pensez que la situation actuelle provoquée par les voleurs d’identifiants de Steam est difficile, imaginez ce qui va se produire lorsque Gaben va publier Half Life 3. Protégez-vous, continuez à jouer et profitez de Steam !

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *