Como Trojans roubam contas de jogos eletrônicos

Um tipo específico de malware busca credenciais de usuários, incluindo contas em serviços de jogos como Origin, Battle.net e Uplay.

Frequentemente falamos sobre as ameaças online que os jogadores enfrentam, incluindo malware em cópias piratas, mods e cheats, sem mencionar phishing e todos os tipos de fraude ao comprar ou trocar itens no jogo. E não faz muito tempo, analisamos problemas na aquisição de contas. Felizmente, é fácil evitar essas ameaças se você souber mais.

Mas existe outro problema que você precisa conhecer para se defender: ladrões de senhas. Quando nossas soluções de segurança os capturam, geralmente são designados como Trojan-PSW. São Trojans projetados para roubar contas – combinações de nome de usuário/senha ou tokens de sessão.

Você pode ter lido sobre ladrões da Steam – Trojans que roubam contas no serviço de jogos mais popular do mundo. Mas existem muitas outras plataformas por aí, como Battle.net, Origin, Uplay e a Epic Games Store. Todos têm audiências multimilionárias, então, naturalmente, os criminosos estão interessados.

O que são os ladrões de senhas?

Os ladrões de senhas são um tipo de malware que rouba informações da conta. Essencialmente, é semelhante a um Trojan bancário, mas, em vez de interceptar ou substituir os dados inseridos, geralmente se apossa de dados já armazenados no computador: nomes de usuário e senhas salvos no navegador, cookies e outros arquivos que estejam no HD. Além disso, às vezes as contas de jogos são apenas um dos alvos dos criminosos – muitos se interessam também por suas credenciais bancárias.

Ladrões podem capturar contas de várias maneiras. Por exemplo, veja o Trojan Kpot (também conhecido como Trojan-PSW.Win32.Kpot). Ele é distribuído principalmente por spam de e-mail com anexos que usam vulnerabilidades (por exemplo, no MS Office) para baixar o malware real no computador.

Em seguida, o responsável pelo golpe transfere informações sobre os programas instalados no computador para o servidor de comando e controle e aguarda os comandos para prosseguir. Entre as possibilidades estão roubar cookies, contas do Telegram e do Skype, e muito mais.

Além disso, ele pode roubar arquivos com a extensão .config do %APPDATA%\Battle.net, que, como você pode imaginar, está vinculado ao Battle.net, o próprio aplicativo de iniciação de jogos da Blizzard. Entre outras coisas, esses arquivos contêm o token de sessão do jogador – ou seja, os cibercriminosos não obtêm o nome de usuário e a senha reais, mas podem usar o token para fingir ser o usuário.

Por que? Simples: eles podem rapidamente vender todos os itens da vítima no jogo, às vezes ganhando um bom dinheiro. É um cenário viável em vários títulos da Blizzard, incluindo World of Warcraft e Diablo 3.

Outros malwares, direcionados ao Uplay, o aplicativo iniciador de jogos da Ubisoft, têm o nome de Okasidis, e nossas soluções o chamam de Trojan-Banker.MSIL.Evital.gen. Com relação às contas de jogos, ele se comporta exatamente como o Trojan Kpot, exceto pelo fato de roubar dois arquivos específicos: % LOCALAPPDA-TA%\Ubisoft Game Launcher\users.dat e % LOCALAPPDATA%\Ubisoft Game Laun-cher\settings.yml.

O Uplay também é interessante para um malware chamado Thief Stealer (detectado como HEUR: Trojan.Win32.Generic), que recolhe todos os arquivos da pasta %LOCALAPPDATA%\Ubisoft Game Launcher\.

Além disso, Uplay, Origin e Battle.net são todos alvos do malware BetaBot (detectado como Trojan.Win32.Neurevt). Mas este Trojan tem um modo diferente de operação. Se o usuário visitar um URL que contenha determinadas palavras-chave (qualquer endereço com as palavras “uplay” ou “origin”, por exemplo), o malware permitirá a coleta de dados dos formulários dessas páginas. Ou seja, as contas de usuário e senhas inseridas nas páginas vão diretamente para os impostores.

Nos três casos, é improvável que o usuário note alguma coisa – o Trojan não se revela de forma alguma no computador, não exibe nenhuma janela com solicitações, mas simplesmente rouba arquivos e/ou dados às escondidas.

Como se proteger contra Trojans ávidos por contas de jogos eletrônicos?

A princípio, as contas de jogos eletrônicos precisam ser protegidas da mesma maneira que os demais serviços digitais, inclusive contra larápios. Siga os conselhos abaixo para frustrar os ladrões de Trojan:

  • Proteja sua conta com autenticação de dois fatores. O Steam possui o Steam Guard, o Battle.net possui o Blizzard Authenticator e a Epic Games Store oferece uma opção entre um aplicativo autenticador e a autenticação por texto ou e-mail. Se sua conta estiver protegida por autenticação de dois fatores, os cibercriminosos precisarão de mais do que as credenciais de acesso para roubá-la.
  • Não baixe mods de sites suspeitos ou softwares pirateado. Os invasores estão bem cientes dos anseios das pessoas por tudo de graça, e buscam explorar por meio de malware oculto em cracks, cheats e mods.
  • Use uma solução de segurança confiável. Por exemplo, o Kaspersky Security Cloud detecta todos esses ladrões e impede que eles levem qualquer informação.
  • Não desligue seu antivírus ao jogar. Se o fizer, um ladrão de senhas poderá entrar em ação repentinamente. O modo de jogo do Kaspersky Security Cloud previne que o antivírus consuma muitos recursos do sistema durante uma partida. Não impacta no desempenho ou na taxa de frames, mas ainda cuida da sua segurança.
Dicas