Tutte le vostre credenziali appartengono a noi

L'evoluzione del malware che prende di mira gli account e l’inventario di Steam

Contenuti

 Scarica la ricerca completa (in inglese)

Con un fatturato annuo che ha dell’incredibile – oltre un centinaio di miliardi di dollari – l’industria del gaming è stata già più volte paragonata, in passato, al fiorente business di Hollywood; tra l’altro, essa ha ripetutamente dimostrato di esercitare una notevole influenza su una solida base di fan, in continua espansione e quanto mai fedele. Il fatto di poter disporre di un elenco in pratica infinito di video-game di grande successo, che coesistono tranquillamente con produzioni indipendenti, decisamente più semplici e modeste, ma in grado di assicurare, comunque, il divertimento – rende le piattaforme digitali non solo un comodo strumento per l’acquisto di nuovi giochi, ma fa di esse un vero e proprio luna park.

Con oltre 140 milioni di utenti registrati, e più di settemila giochi disponibili per il download, Steam, la nota piattaforma di distribuzione digitale multi-OS sviluppata da Valve, offre, letteralmente, una miriade di opportunità per i gamer. Tutto questo comprende gli ultimi giochi pubblicati, accessibili in un ambiente cloud “always-on”, così come una community, sempre più numerosa, di entusiasti, che condividono la stessa identica passione per il gaming. In effetti, Steam evidenzia una crescita costante del numero di utenti attivi registrati sulla piattaforma; ognuno di essi, per acquistare i contenuti preferiti, si avvale di una carta di credito. Gli utenti, quindi, forniscono volentieri le proprie informazioni personali e realizzano poi lo scambio di oggetti con gli altri iscritti al network, tramite apposite operazioni di compravendita in-game, o attraverso le tradizionali aste. Sinora, purtroppo, la ricerca condotta a livello di sicurezza IT ha in pratica ignorato il malware destinato al mondo del gaming, presupponendo, erroneamente, che le transazioni effettuate nell’ambito di quest’ultimo non comportassero, in fondo, l’impiego di valori reali ed effettivi. Di fatto, questo “angolo cieco” viene ampiamente sfruttato dai cybercriminali allo scopo di realizzare il furto di denaro e procurare danni reali!

steam_pr

È tutto gioco e divertimento, finché non viene violato l’account di qualcuno

Vari gruppi criminali organizzati, insediati in diversi Paesi dell’Europa Orientale, stanno rivolgendo le loro losche attenzioni alla base di utenti di Steam, in progressiva espansione, così come alle tecniche e alle procedure di sicurezza offerte agli utenti dalla suddetta piattaforma; queste cybergang, tra l’altro, sembrano attendere pazientemente le opportunità che si possono presentare. Come nella maggior parte dei social network, numerosi profili non rivelano la loro vera natura, nascondendo i dati personali e le informazioni di pagamento dietro una falsa identità creata ad arte, o personaggi digitali; Jung direbbe, a tal riguardo: “Una sorta di maschera, disegnata da un lato per fare una determinata impressione sugli altri, e dall’altro lato per nascondere la vera natura dell’individuo”. Cosa accade, però, quando la maschera improvvisamente scivola via? Quando il vostro account e tutto ciò che è correlato ad esso, ed in particolar modo le informazioni sensibili custodite al suo interno, divengono fonte di guadagni illeciti per una terza parte sconosciuta? Sorprendentemente, questo incubo si trasforma in realtà, ogni mese, per quasi 77.000 ignari utenti, secondo i dati statistici di cui dispone Steam. Stimare l’impatto finanziario, ad ogni caso, risulta piuttosto difficile, visto che la piattaforma Steam non è obbligata a rendere pubbliche tali informazioni. Mentre esistono numerosi siti web dedicati alla vasta community degli utenti (quali, ad esempio, SteamSpy, o SteamCompanion) per poter calcolare le somme spese sul proprio account, è di fatto impossibile trovare una sola persona che conservi lo storico, per determinare il valore medio. Secondo un’ipotesi del tutto plausibile, basata sui dump delle password disponibili, il valore delle credenziali è di soli 15 dollari USD, sul mercato nero.

Questo, tuttavia, è solo per ottenere l’accesso al profilo della vittima; ciò che fanno in seguito i malintenzionati può generare profitti ancor più elevati, a seconda dell’utente preso di mira.

gamers_short_it_1

Un tipico stealer, che annuncia di voler rivoluzionare la “Steam Item Stealing Industry” (l’industria del furto degli oggetti Steam); il relativo sito web è da qualche tempo offline, mentre l’account Twitter è in sostanza “morto”. Eppure, la sua eredità produce ancora numerosi effetti, visto che il malware viene tuttora distribuito “in the wild”.

Sebbene gli attacchi di phishing e spear-phishing godano sempre di particolare popolarità presso i malintenzionati che praticano attivamente il social engineering negli angoli più oscuri di Internet, un nuovo genere di malware, conosciuto con la denominazione, apparentemente innocua, di “Steam Stealer”, è il sospettato numero uno per ciò che riguarda i furti correlati a numerosi account di utenti della principale piattaforma di Valve Corporation. Una lenta e graduale evoluzione, originata da un’operazione di hacking all’interno di un remoto forum russo, ha visto gli stealer affermarsi sempre di più sulla scena del malware mondiale, una volta che è stato dimostrato come gli stessi possano rivelarsi estremamente redditizi, per i cybercriminali nascosti in ogni angolo del globo. Disponibili per la vendita in varie versioni, con caratteristiche e funzionalità distinte, aggiornamenti gratuiti, manuali d’uso, indicazioni e consigli personalizzati per la loro distribuzione, gli stealer hanno letteralmente trasformato il panorama delle minacce IT rivolte all’ecosistema dell’entertainment in un vero e proprio “devil’s playground”.

gamers_short_it_2

Un sito web clonato quasi alla perfezione, relativo a Razer Comms, il noto messenger riservato ai gamer; un altro diffuso strumento di comunicazione per il gaming online è poi rappresentato da TeamSpeak. I siti fasulli volti ad imitare queste due risorse web costituiscono uno dei metodi maggiormente praticati dai cyber criminali per indurre le proprie vittime ad installare, con l’inganno, la suddetta tipologia di malware.

Tra i motivi che stanno alla base della crescente diffusione del malware specializzato nel prendere di mira il pubblico dei gamer, troviamo, innanzitutto, la semplicità di funzionamento dello stesso, così come l’ubiquità dell’offerta ad esso relativa. La precisa intenzione di vendere gli stealer a chiunque abbia soldi da spendere, significa, semplicemente, che un numero impressionante di script kiddie e individui malintenzionati in possesso di scarse conoscenze tecniche si orienta sempre di più verso questo tipo di minaccia, che diviene una sorta di malware d’elezione per poter fare il proprio ingresso sulla scena del cybercrimine mondiale.

gamers_short_it_3

Tutto è racchiuso in un unico pacchetto, pronto per l’uso, ed accompagnato da abbondante documentazione “tecnica”. Vengono offerte varie funzionalità, come parte di ogni singolo pacchetto Steam Stealer, a partire da 15 dollari americani.

Aggiungere nuove funzionalità è davvero semplice. In pratica, lo sviluppatore “medio” deve solo selezionare il linguaggio di programmazione preferito e sapere quel poco che basta riguardo alla struttura e al protocollo inerenti al client Steam. Sono tra l’altro disponibili numerose API e librerie, le quali si interfacciano senza alcuna difficoltà con la piattaforma Steam, riducendo quindi in maniera significativa lo “sforzo” richiesto. Non è poi raro che i malintenzionati riutilizzino tool legittimi e librerie open source per le loro campagne nocive, anche se, in questo caso, le opportunità esistenti possono rivelarsi semplicemente troppo allettanti, per essere in seguito trasferite ad altri.

gamers_short_it_4

Il prezzo base di 200 rubli (3 $ USD) permette di ottenere i diritti per l’utilizzo di uno stealer delle credenziali relative agli utenti della piattaforma Steam. Pagando invece 450 rubli (7 $ USD), verranno aggiunti il codice sorgente ed il manuale completo.

Ogni fase del processo, dalla distribuzione iniziale del malware, sino all’ottenimento del profitto illecito una volta completata l’infezione, risulta documentata in una delle numerose guide disponibili online (dietro pagamento aggiuntivo, ovviamente). In questo singolare modello di “business” tutto ha un prezzo; ogni malintenzionato, quindi, fa tutto il possibile (e l’impossibile) per rendere ancor più attraente la propria offerta agli occhi dei potenziali clienti. Come è noto, il malware-as-a-service non rappresenta una pratica rivoluzionaria. Tuttavia, quando il discorso riguarda simili tipologie di campagna dannosa, notiamo come i prezzi possono partire, di fatto, da un range di almeno 500 $ (assumendo, come mercato di riferimento, le precedenti operazioni di ransomware-as-a-service).

gamers_short_it_5

È ben evidente come la “stealing industry” dedichi grande attenzione al Marketing.

Per quel che riguarda gli Steam Stealer, agli aspiranti cybercriminali viene di solito richiesta, per l’utilizzo del malware, una cifra davvero esigua, quasi “ridicola”. Il pagamento di un costo aggiuntivo consentirà poi di ottenere il codice sorgente completo; nella circostanza, il pacchetto comprenderà anche un dettagliato manuale utente: tutto questo rende lo schema nocivo in questione grottesco e terrificante al tempo stesso. Ovviamente, i prezzi sopra menzionati sono relativi alla fascia bassa della “stealing industry”; risulta comunque difficile trovare uno stealer venduto per un importo superiore ai 30 dollari. In questo mercato di nicchia, con una concorrenza così numerosa ed agguerrita, diviene decisamente arduo potersi guadagnare da vivere, come cybercriminale, senza osare compiere qualche sforzo in più.

Tendenze passate ed attuali

Riesaminando il modo in cui gli Steam Stealer si sono evoluti, da “semplice” malware a fenomeno che inonda, ormai, ogni angolo di Internet, possiamo ritenere che si tratta, davvero, di un business in piena espansione.

In passato, i cybercriminali non ricorrevano ad alcun tipo di offuscamento; talvolta, le credenziali FTP o SMTP venivano addirittura trasmesse sotto forma di semplice testo. Gradualmente, poi, sono stati introdotti sensibili miglioramenti sia riguardo agli stealer, sia relativamente all’aspetto legato all’ingegneria sociale: così, le immagini presenti sulle schermate sono divenute migliori; i siti contraffatti sono stati notevolmente perfezionati; i malintenzionati hanno inoltre diversificato in misura sempre maggiore i metodi adottati per la distribuzione del malware; i bot, infine, sono riusciti ad imitare sempre meglio il comportamento umano.

Riportiamo, qui di seguito, una breve carrellata delle tendenze passate:

  • Utilizzo di offuscatori, per rendere più difficile l’analisi e complicare il rilevamento.
  • Utilizzo di estensioni di file nascoste di default da Windows (falsi file ‘screensaver’).
  • Aggiunto l’utilizzo di NetSupport (in grado di fornire l’accesso remoto all’hacker).
  • Utilizzo di server TeamSpeak fasulli.
  • Utilizzo del bypass automatico dei Captcha (Death By Captcha ed altri).
  • Utilizzo di falsi server di gioco (in particolare Counter-Strike: Global Offensive).
  • Utilizzo di Pastebin per prelevare l’effettivo Steam Stealer.
  • Utilizzo di falsi siti per creare screenshot, volti ad imitare Imgur, LightShot o SavePic.
  • Utilizzo di software vocali fasulli, allo scopo di imitare TeamSpeak, RazerComms ed altri ancora.
  • Utilizzo di servizi adibiti alla creazione di URL brevi, quali bit.ly.
  • Utilizzo di Dropbox, Google Docs, Copy.com ed altro per ospitare il malware.

Le attuali tendenze, invece, sono le seguenti:

  • Utilizzo di false estensioni di Chrome o di JavaScript, scamming attraverso siti web dedicati al gioco d’azzardo.
  • Utilizzo di siti di gambling fasulli, incluso falsi bot di deposito.
  • Utilizzo di wrapper AutoIT, per rendere più difficile l’analisi e complicare il rilevamento.
  • Utilizzo di RAT (Remote Access Trojan), quali, ad esempio, NanoCore o DarkComet.

L’elenco sembra destinato a crescere, visto che siamo appena agli inizi del 2016.

Scarica la ricerca completa (PDF in inglese)

La “Steam Stealing industry” in cifre

I dati statistici riportati nella sezione seguente costituiscono il riflesso del periodo intercorrente tra il 1° gennaio 2015 e il 1° gennaio 2016, e si focalizzano sulle famiglie di malware più diffuse, relativamente agli Steam Stealer. Tuttavia, dal momento che molti rilevamenti vengono effettuati tramite euristiche o verdetti generici di vario tipo, possiamo di sicuro affermare che il problema sia, in realtà, decisamente peggiore di quanto appare; risulta davvero difficile poterne stabilire con esattezza le proporzioni. La percentuale di utenti infetti è stata calcolata solo per quei Paesi in cui, nel periodo sopra indicato, si sono verificati più di 1.000 rilevamenti (baseline).

Statistiche relative a Trojan-Downloader.MSIL.Steamilik

gamers_short_it_6

Geografia di Trojan-Downloader.MSIL.Steamilik

gamers_short_it_7

% di utenti infetti – Trojan-Downloader.MSIL.Steamilik

I Trojan-Downloader possono generare il download e l’installazione di nuove versioni di programmi malware sul computer dell’utente, incluso altri Trojan ed i fastidiosissimi adware. Questo particolare processo di infezione, suddiviso in due fasi, consente ai malfattori di rendere modulari i componenti nocivi utilizzati, creando, quindi, un downloader iniziale provvisto di funzionalità ridotte, il quale, in seguito, può convogliare sul computer-vittima i contenuti dannosi veri e propri, una volta che l’ambiente sottoposto ad attacco si è dimostrato di valore.

Statistiche relative a Trojan.MSIL.Steamilik

gamers_short_it_8

Geografia di Trojan.MSIL.Steamilik

gamers_short_it_9

% di utenti infetti – Trojan.MSIL.Steamilik

Questa vasta categoria di Trojan comprende tutti i software nocivi in grado di eseguire attività non autorizzate da parte dell’utente. È di particolare interesse, a tal proposito, porre in evidenza la sottocategoria MSIL, costituita da malware riuniti dalla piattaforma .NET. L’aumento del numero dei Trojan attualmente in circolazione, ed il crescente utilizzo del principale framework di sviluppo di Microsoft procedono di pari passo; tale circostanza sembra rendere più semplice la vita a tutti gli sviluppatori (compreso quelli che, di fatto, non possono essere propriamente definiti “white hat”).

Statistiche relative a Trojan-PSW.MSIL.Steam

gamers_short_it_10

Geografia di Trojan-PSW.MSIL.Steam

gamers_short_it_11

% di utenti infetti – Trojan-PSW.MSIL.Steam

I programmi Trojan-PSW vengono progettati con il preciso scopo di realizzare il furto, all’interno dei computer infetti, delle informazioni sensibili relative agli account di cui dispongono gli utenti, quali login e password. Un PSW, o Password Stealing Ware, una volta lanciato, ricerca i file specificamente adibiti alla custodia di una serie di dati confidenziali, o il registro di sistema. Se i dati in questione vengono individuati, il Trojan provvede ad inviare gli stessi al proprio “padrone”. Per trasmettere i dati carpiti possono essere utilizzati vari vettori: la posta elettronica, l’FTP, il web (incluso i dati contenuti in una richiesta), o altri metodi ancora. Ha attirato in particolar modo la nostra attenzione il Brasile, collocatosi al secondo posto della graduatoria riservata a questa categoria di malware; la leadership della speciale classifica da noi stilata è invece andata ad appannaggio della Federazione Russa. L’America Latina rappresenta, di sicuro, un ecosistema in evidente crescita, per ciò che riguarda il malware; e i gamer, ovviamente, non sono stati dimenticati.

gamers_short_it_12

Tipo di offuscatore utiltzzato

Per proteggere la loro “proprietà intellettuale”, i cybercriminali ricorrono all’utilizzo di un’ampia gamma di offuscatori; ovviamente, questo può determinare una certa riduzione del numero dei rilevamenti effettuati dalle soluzioni di sicurezza. Nella fattispecie, i malintenzionati si avvalgono anche di progetti open source, quali ‘ConfuserEx’ (il successore del famigerato progetto Confuser), così come di offuscatori, disponibili in commercio, per il framework .NET, quale, ad esempio, SmartAssembly. Per calcolare i dati statistici qui sopra inseriti, relativi al diffuso impiego degli offuscatori, è stato utilizzato un gruppo di oltre 1.200 sample, raccolti tramite strumenti di vario genere. Tutti i valori hash riguardanti tale “collezione” saranno caricati all’interno del nostro repository degli IOC (Indicators of Compromise), pubblicamente disponibile.

Le contromisure adottate da Valve

Valve ha immediatamente preso atto del problema manifestatosi; tuttavia, anche se si è registrato un progressivo miglioramento nel numero delle misure di protezione implementate, gli Steam Stealer sembrano essere tuttora dilaganti. Non c’è quindi da meravigliarsi se, ad un certo punto, molti utenti della nota piattaforma di gaming si ritroveranno nella spiacevole situazione di doversi interrogare su cosa sia andato loro storto, nell’esperienza di gioco. Tra le nuove misure di sicurezza, diverse sono state adottate sull’intero network; altre, invece, possono essere facilmente configurate a livello di account personale, allo scopo di prevenire questo tipo di incidenti e beneficiare, quindi, di una sessione di gioco del tutto sicura:

  • Autenticazione a due fattori, tramite e-mail o attraverso l’applicazione mobile Steam Guard.
  • Blocco degli URL su tutta la piattaforma Steam.
  • Censura dei nickname (Steam/Valve).
  • Introduzione dei Captcha sulle transazioni (per un breve periodo), poi bypassati.
  • Introdotti account limitati.
  • Conferme e-mail da parte di Steam per l’utilizzo del mercato e lo scambio degli oggetti.
  • Verifica degli indirizzi di posta elettronica.
  • Acquisto per un valore di 5 $, per combattere gli account ‘free abuse’ (esteso agli account limitati).
  • Informazioni sull’utente con il quale viene condotto lo scambio commerciale (record).
  • Il mercato risulterà bloccato effettuando l’accesso da nuovi dispositivi, cambiando la password del proprio profilo, etc.
  • Apposite conferme sulle transazioni mobile di Steam.
  • Ripristino dell’account Steam tramite numero telefonico.
  • Chat limitata; vengono esclusi gli utenti che non condividono rapporti in chat a livello di amicizia, server di gioco o utenti multipli.
  • Maggiori restrizioni a livello di blocco dello spam e dei siti di scam.
  • Durata del periodo di tempo in cui gli oggetti scambiati vengono trattenuti da Steam (15 giorni).

In termini di misure di prevenzione, raccomandiamo agli utenti di familiarizzare con gli aggiornamenti di Steam via via rilasciati, così come con le nuove funzionalità riguardanti la sicurezza; un elemento di fondamentale importanza è rappresentato dall’attivazione della procedura di autenticazione a due fattori, realizzata attraverso Steam Guard. Tutto questo è il minimo che si possa fare. Occorre tenere bene a mente che la propagazione avviene principalmente (ma non esclusivamente) tramite siti web fasulli, clonati quasi alla perfezione, adibiti alla distribuzione del malware, o attraverso un particolare approccio di social engineering, che prevede l’invio di messaggi inoltrati direttamente alla vittima. Risulta pertanto indispensabile mantenere aggiornata la propria soluzione di sicurezza IT, non disattivandola in alcun caso; la maggior parte dei prodotti dispone, attualmente, di una “modalità gaming”, la quale consente di godersi al massimo la sessione di gioco intrapresa, senza ricevere alcuna notifica prima che la stessa sia terminata. Abbiamo elencato, qui sopra, tutte le opzioni che Steam offre ai propri utenti per proteggere gli account di cui questi ultimi dispongono. Ricordatevi: i cybercriminali puntano ai numeri; quindi, se incontrano particolari difficoltà o problemi, preferiscono passare direttamente al target successivo. Seguite quindi queste semplici raccomandazioni, ed eviterete di divenire un comodo e facile bersaglio di malintenzionati senza scrupoli.

E se pensate che l’attuale situazione riguardante gli Steam Stealer sia davvero pessima, sappiate che ci vengono letteralmente i brividi, quando immaginiamo cosa potremmo trovarci di fronte dopo che Gaben avrà rilasciato Half Life 3. State al sicuro, giocate, e divertitevi con Steam!

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *