{"id":15622,"date":"2020-06-18T19:36:42","date_gmt":"2020-06-18T22:36:42","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=15622"},"modified":"2020-11-27T13:51:50","modified_gmt":"2020-11-27T16:51:50","slug":"gaming-password-stealers","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/gaming-password-stealers\/15622\/","title":{"rendered":"Como Trojans roubam contas de jogos eletr\u00f4nicos"},"content":{"rendered":"

Frequentemente falamos sobre as amea\u00e7as online que os jogadores enfrentam, incluindo malware em c\u00f3pias piratas, mods<\/em> e cheats<\/em>, sem mencionar phishing e todos os tipos de fraude<\/a> ao comprar ou trocar itens no jogo. E n\u00e3o faz muito tempo, analisamos problemas na aquisi\u00e7\u00e3o de contas<\/a>. Felizmente, \u00e9 f\u00e1cil evitar essas amea\u00e7as se voc\u00ea souber mais.<\/p>\n

Mas existe outro problema que voc\u00ea precisa conhecer para se defender: ladr\u00f5es de senhas. Quando nossas solu\u00e7\u00f5es de seguran\u00e7a os capturam, geralmente s\u00e3o designados como Trojan-PSW. S\u00e3o Trojans<\/a> projetados para roubar contas \u2013 combina\u00e7\u00f5es de nome de usu\u00e1rio\/senha ou tokens de sess\u00e3o.<\/p>\n

Voc\u00ea pode ter lido sobre ladr\u00f5es da Steam<\/a> \u2013 Trojans que roubam contas no servi\u00e7o de jogos mais popular do mundo. Mas existem muitas outras plataformas por a\u00ed, como Battle.net, Origin, Uplay e a Epic Games Store. Todos t\u00eam audi\u00eancias multimilion\u00e1rias, ent\u00e3o, naturalmente, os criminosos est\u00e3o interessados.<\/p>\n\n

O que s\u00e3o os ladr\u00f5es de senhas?<\/h2>\n

Os ladr\u00f5es de senhas s\u00e3o um tipo de malware que rouba informa\u00e7\u00f5es da conta. Essencialmente, \u00e9 semelhante a um Trojan banc\u00e1rio<\/a>, mas, em vez de interceptar ou substituir os dados inseridos, geralmente se apossa de dados j\u00e1 armazenados no computador: nomes de usu\u00e1rio e senhas salvos no navegador<\/a>, cookies e outros arquivos que estejam no HD. Al\u00e9m disso, \u00e0s vezes as contas de jogos s\u00e3o apenas um dos alvos dos criminosos \u2013 muitos se interessam tamb\u00e9m por suas credenciais banc\u00e1rias.<\/p>\n

Ladr\u00f5es podem capturar contas de v\u00e1rias maneiras. Por exemplo, veja o Trojan Kpot (tamb\u00e9m conhecido como Trojan-PSW.Win32.Kpot<\/em>). Ele \u00e9 distribu\u00eddo principalmente por spam de e-mail com anexos que usam vulnerabilidades (por exemplo, no MS Office) para baixar o malware real no computador.<\/p>\n

Em seguida, o respons\u00e1vel pelo golpe transfere informa\u00e7\u00f5es sobre os programas instalados no computador para o servidor de comando e controle e aguarda os comandos para prosseguir. Entre as possibilidades est\u00e3o roubar cookies, contas do Telegram e do Skype, e muito mais.<\/p>\n

Al\u00e9m disso, ele pode roubar arquivos com a extens\u00e3o .config do %APPDATA%\\Battle.net<\/em>, que, como voc\u00ea pode imaginar, est\u00e1 vinculado ao Battle.net, o pr\u00f3prio aplicativo de inicia\u00e7\u00e3o de jogos da Blizzard. Entre outras coisas, esses arquivos cont\u00eam o token de sess\u00e3o do jogador \u2013 ou seja, os cibercriminosos n\u00e3o obt\u00eam o nome de usu\u00e1rio e a senha reais, mas podem usar o token para fingir ser o usu\u00e1rio.<\/p>\n

Por que? Simples: eles podem rapidamente vender todos os itens da v\u00edtima no jogo, \u00e0s vezes ganhando um bom dinheiro. \u00c9 um cen\u00e1rio vi\u00e1vel em v\u00e1rios t\u00edtulos da Blizzard, incluindo World of Warcraft<\/em> e Diablo 3<\/em>.<\/p>\n

Outros malwares, direcionados ao Uplay, o aplicativo iniciador de jogos da Ubisoft, t\u00eam o nome de Okasidis, e nossas solu\u00e7\u00f5es o chamam de Trojan-Banker.MSIL.Evital.gen. Com rela\u00e7\u00e3o \u00e0s contas de jogos, ele se comporta exatamente como o Trojan Kpot, exceto pelo fato de roubar dois arquivos espec\u00edficos: % LOCALAPPDA-TA%\\Ubisoft Game Launcher\\users.da<\/em>t e % LOCALAPPDATA%\\Ubisoft Game Laun-cher\\settings.yml<\/em>.<\/p>\n

O Uplay tamb\u00e9m \u00e9 interessante para um malware chamado Thief Stealer (detectado como HEUR: Trojan.Win32.Generic), que recolhe todos os arquivos da pasta %LOCALAPPDATA%\\Ubisoft Game Launcher\\<\/em>.<\/p>\n

Al\u00e9m disso, Uplay, Origin e Battle.net s\u00e3o todos alvos do malware BetaBot (detectado como Trojan.Win32.Neurevt). Mas este Trojan tem um modo diferente de opera\u00e7\u00e3o. Se o usu\u00e1rio visitar um URL que contenha determinadas palavras-chave (qualquer endere\u00e7o com as palavras \u201cuplay\u201d ou \u201corigin\u201d, por exemplo), o malware permitir\u00e1 a coleta de dados dos formul\u00e1rios dessas p\u00e1ginas. Ou seja, as contas de usu\u00e1rio e senhas inseridas nas p\u00e1ginas v\u00e3o diretamente para os impostores.<\/p>\n

Nos tr\u00eas casos, \u00e9 improv\u00e1vel que o usu\u00e1rio note alguma coisa \u2013 o Trojan n\u00e3o se revela de forma alguma no computador, n\u00e3o exibe nenhuma janela com solicita\u00e7\u00f5es, mas simplesmente rouba arquivos e\/ou dados \u00e0s escondidas.<\/p>\n

Como se proteger contra Trojans \u00e1vidos por contas de jogos eletr\u00f4nicos?<\/h2>\n

A princ\u00edpio, as contas de jogos eletr\u00f4nicos precisam ser protegidas da mesma maneira que os demais servi\u00e7os digitais, inclusive contra lar\u00e1pios. Siga os conselhos abaixo para frustrar os ladr\u00f5es de Trojan:<\/p>\n