Bulletin de sécurité de Kaspersky Lab sur le développement des programmes malicieux pour les jeux en ligne en 2007

  1. La cyber-sécurité en 2007
  2. Le développement des programmes malicieux pour les jeux en ligne en 2007
  3. Le courrier indésirable en 2007
  4. Les programmes malveillants dans le courrier électronique en 2007 : ne pas baisser la garde !

Indubitablement, on peut qualifier 2007 de « l’année de l’escroquerie dans le monde des jeux en ligne » ou encore « l’année de la rentabilité aux dépens de joueurs malchanceux ». En 2007, le volume de programmes malicieux ciblant uniquement les joueurs de jeux en ligne a augmenté de 145% comparé à 2006.

En un an, les programmes malicieux pour jeux en ligne ont fait un énorme bond en avant. Leur diversité et diffusion sont telles qu’ils sont en mesure de concurrencer les vers et virus responsables d’épidémies, comme le montre le top20 du scanner online de novembre – http://www.kaspersky.com/fr/news?id=207217040, et pour ce qui est de la complexité, ils sont comparables aux meilleurs « animateurs » de réseau zombies – http://www.viruslist.com/fr/analysis?pubid=200676108 #attack.

En 2007, le volume de programmes malicieux ciblant uniquement les joueurs de jeux en ligne a augmenté de 145% comparé à 2006. Une hausse exponentielle qui est le signe d’une situation de plus en plus difficile au niveau du vol des biens virtuels des jeux en ligne en règle générale.



Evolution des programmes malicieux voleurs de mots de passe de jeux en ligne

Pour mieux suivre la dynamique de croissance des programmes malicieux pour les jeux en ligne, divisons le malware en deux sections – TrojWare (trojan dédiés aux jeux) et VirWare (virus dédiés aux jeux).

TrojWare – les Trojan Games

Parmi tous les programmes malicieux visant les joueurs en ligne, les chevaux de Troie (dont la seule fonction est le vol de mot de passe) représentent 96% des malwares.

Les représentants les plus virulents de cette catégorie sont :

  • Trojan-PSW.Win32.OnlineGames,
  • Trojan-PSW.Win32.Lmir,
  • Trojan-PSW.Win32.Nilage,
  • Trojan-PSW.Win32.WOW,
  • Trojan-PSW.Win32.Magania,
  • Trojan-PSW.Win32.Gamec,
  • Trojan-PSW.Win32.Tibia,
  • Trojan-PSW.Win32.Hangame.

Sur le total des programmes de Troie voleurs d’informations confidentielles (Trojan-PSW), la part des Trojan Games (de jeux) est de 69,8%. Et cette part ne cesse de croître : en janvier, cet indice était environ de 65%, en septembre il atteignait les 75% et en fin d’année il dépassait les 80%. Une évidence s’impose : les mots de passe des jeux en ligne intéressent davantage les cyber-criminels que les mots de passe de courrier électronique, pages Internet ou banque en ligne.



Evolution des chevaux de Troie visant les jeux en ligne
sur le total des Trojans voleurs de données confidentielles (Trojan-PSW)

L’étude des codes de Trojan Games permet de conclure que 2006 et la première moitié 2007 représente une période d’essai pour les nouvelles technologies de vol de mots de passe, clés ou autres informations à l’aide desquelles les cyber-criminels interférent dans les jeux. Au deuxième semestre 2007, ces technologies ont été ajustées en fonction des nouveaux patchs des développeurs de jeux en ligne. Elles sont particulièrement innovantes techniquement et dans certains cas, leur détection par un antivirus peu performant s’est avérée impossible.

La forte croissance des nouveaux chevaux de Troie en début d’année et le ralentissement en fin d’année, couplée à l’absence de nouveautés technologiques indique également qu’au deuxième semestre 2007 le vol de « personnages de jeux » et autres « propriétés virtuelles » s’est stabilisé.



Evolution des programmes malicieux (TrojWare) voleurs de mots de passe de jeux en ligne

La réduction du nombre de nouveaux Trojan games en juillet est sans doute liée aux congés d’été et à la baisse de fréquence des mises à jour pour les clients de jeux en ligne. Dans de telles conditions, le cyber-criminel n’a pas besoin de générer de nouveaux Trojans. Les malwares actuels s’acquittent très bien de leur tâche.

Concernant l’axe de développement des Trojans de jeux, 2007 est l’année du passage des Trojans visant un jeu en particulier aux Trojans voleurs de mots de passe de plusieurs jeux en ligne.



Evolution du nombre de Trojan games visant plusieurs jeux et de Trojan games dédiés à un jeu précis

Sur l’année 2007, les programmes malicieux les plus nombreux sont les représentants de la famille Trojan-PSW.Win32.OnlineGames capables de “traquer” les mots de passe de plusieurs jeux en même temps (le nombre de jeux ciblés peut varier de 2 à 10).



Familles les plus nombreuses de Trojans présents sur les jeux en ligne en 2007

Pour comprendre le degré de popularité des différents jeux en ligne chez les auteurs de Trojans, évaluons le pourcentage de chaque Trojan visant un jeu en ligne concret sur le total des Trojans de jeux.



Evolution des chevaux de Troie visant des jeux en ligne concrets

Le graphique nous montre qu’en l’espace d’un an, le jeu «Lineage2» a perdu de sa popularité parmi les auteurs de Trojans (Trojan-PSW.Win32.Nilage) au profit du jeu Gamania (Trojan-PSW.Win32.Magania), dont la popularité a cru au deuxième semestre 2007. Quant à World of Warcraft, il conserve une stabilité enviable après l’attention dont il a fait l’objet en août (apparemment lié au BlizzCon – http://www.blizzard.com/blizzcon07/highlights.shtml)

A l’aide de google.com/trends, il est facile d’évaluer la popularité des jeux Lineage2 et World of Warcraft. Le graphique ci-dessous nous indique le nombre de liens trouvés par le système de recherche Google).



Résultat de google.com/trends à la requête «lineage»
[http://www.google.com/trends?q=lineage&ctab=0]



Résultat de google.com/trends à la requête «wow»
[http://www.google.com/trends?q=wow&ctab=0]

Le graphique est clair, l’intérêt pour «Lineage2» faiblit en cours d’année, alors que World of Warcraft affirme ses positions. Le développement des Trojans dédiés aux jeux en ligne affiche une corrélation avec la popularité des jeux sur Internet.

Les programmes VirWare

Parmi tous les programmes malicieux visant les jeux en ligne, la part des programmes VirWare (programmes malicieux les plus répandus) ne représente que 4%, pourtant cette catégorie englobe des malware bien connu:

  • Worm.Win32.Viking,
  • Worm.Win32.Fujack,
  • Virus.Win32.Alman,
  • Virus.Win32.Hala,
  • Worm.Win32.AutoRun.

Dans le flux total des VirWare, la part des programmes dédiés aux jeux est instable tout au long de l’année.



Evolution de la part des programmes malicieux les plus répandus visant
les jeux en ligne dans la masse totale des programmes VirWare

Les données présentées montrent que l’hiver, période où les joueurs sont le plus actifs, un cinquième des malwares se concentrait sur le vol de mots de passe des jeux en ligne.

Les auteurs de virus se concentraient sur la création de nouveaux programmes de jeux WirWare début et fin de l’année 2007 comme l’indique le graphique suivant :



Evolution des nouveaux programmes malicieux les plus répandus (VirWare)
voleurs de mots de passe sur les jeux en ligne

Un autre pic d’activité des créateurs de nouveaux VirWare est distinct au mois de juillet. Il est lié à l’apparition d’un des vers de jeux les plus efficaces – Worm.Win32.AutoRun. Rappelons que le nombre de nouveaux Trojans en juillet a, au contraire, brusquement chuté.

L’efficacité de ce ver est basée sur sa méthode de propagation via les cartes flash. AutoRun n’a rien perdu de sa popularité après des debuts réussis et le pic de décembre des nouveaux programmes WinWare y est pour beaucoup.

Conclusion

Les jeux en ligne ne relèvent plus de l’atypisme. C’est un loisir au même titre que MSN, le courrier électronique ou la téléphonie mobile. Le développement des programmes malicieux pour les jeux en ligne en 2007 est une conséquence directe du développement des jeux en ligne et de l’industrie du jeu dans son ensemble. A l’heure actuelle le vol de propriété virtuelle et de personnages est un business bien rôdé et lucratif. Et si début 2007 les algorithmes universels pour le vol de mot de passe de jeux en ligne n’existaient pas, ils sont apparus en milieu d’année.

A l’heure actuelle, 8 à 9 nouveaux vers pour le vol de mot de passe de jeux en ligne apparaissent par jour dans le monde, et 5 à 6 trojan games par heure. Qui plus est, les programmes malicieux pour jeux dernière génération sont comparables en complexité avec les Trojans multifonctionnels dédiés à l’élaboration de réseaux zombies.

Aujourd’hui il existe un marché noir des biens virutels de jeux qui se développe selon les règles de l’économie. Et les auteurs de codes malicieux suivent scrupuleusement son développement.

Le graphique ci-dessous indique le nombre de liens trouvés par le moteur de recherche Google (google.com/trends) suite aux requêtes “sell account” en bleu, “buy account” en rouge et “hack account” en jaune.




[http://www.google.com/trends?q=sell+account%2C+buy+account%2C+hack+account&ctab=0&geo=all&date=all&sort=0]

Ce diagramme permet d’évaluer le niveau de popularité de ces requêtes. Tenant compte du fait que la majorité des propositions d’acheter et de revendre des comptes concerne les jeux en ligne, on constate que sur le marché des valeurs virtuelles, la demande dépasse l’offre. Par ailleurs, apparaît une croissance simultanée des requêtes pour l’achat, la vente mais également le « cassage » de comptes (avec un pic notable des trois courbes en période estivale). Cette simultanéité témoigne de l’augmentation du taux de criminalisation de ce marché.

Grace à l’augmentation continue de ceux qui souhaitent acquérir soit des personnages soit des richesses virtuelles, le marché des biens virtuels va continuer sa progression. Autrement dit l’intérêt des auteurs de virus ne peut que croitre et le développement des programmes malicieux orientés vers les jeux en ligne continuer : les auteurs se concentrent sur le système d’auto-défense de leur malware et commencent à intégrer le fonctionnel de vol de mots de passe dans des programmes malicieux dont le comportement est autre – par exemple les backdoors.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *