Ihre Zugangsdaten – alle wollen sie

Malware, die Steam-Accounts und das Spiel-Inventar angreift

Inhalt

 Zum Download des vollständigen Artikels (englisch)

Mit jährlichen Einnahmen von über einer Milliarde US-Dollar wurde die Game-Industrie, die immer wieder ihren Einfluss auf ihre beständig wachsende und loyale Fangemeinde unter Beweis stellt, schon mit dem boomenden Hollywood-Business verglichen. Die endlosen Listen von „Bestseller“-Videospielen, die friedlich mit einfachen, aber immer unbeschwerten „Indie“-Produktionen koexistieren, machen digitale Plattformen nicht nur zu einem bequemen Ort, um neue Spiele zu erwerben, sondern auch zu einem fairen.

Mit mehr als 140 Millionen registrierten Nutzern und mehr als siebentausend Spielen, die zum Download bereitstehen, bietet Steam, die betriebssystemübergreifende digitale Vertriebsplattform von Valve, den Spielern Myriaden von Möglichkeiten. Das schließt auch die neuesten Games aus einer ständig verfügbaren und offenen Cloud-Umgebung ein sowie die stetig wachsende Community Gleichgesinnter. Die Zahl der aktiven Nutzer, die auf dieser Plattform registriert sind, wächst stetig. Jeder dieser User verwendet eine Kreditkarte, um Spielinhalte zu kaufen und gibt damit freiwillig persönliche Informationen Preis. Außerdem tauschen die Anwender Gegenstände mit anderen Netzwerkteilnehmern in spielinternen Geschäften oder traditionellen Auktionen. Die Sicherheitsforschung hat die Game-Malware sträflich vernachlässigt, in der irrigen Annahme, auf diesen Plattformen würde nichts von realem Wert gehandelt. Dieser tote Winkel wurde von Cyberkriminellen ausgenutzt, um Geld zu stehlen und realen Schaden anzurichten!

steam_pr

Es ist alles Spiel und Spaß, bis der Account von jemandem gekapert wird

Organisierte Verbrecherbanden aus ganz Osteuropa hatten Steams wachsende Nutzergemeinde sowie die Sicherheitstechniken und -Prozeduren, die das Unternehmen seinen Anwendern bietet, schon lange fest im Blick und warteten geduldig auf ihre Chance. Wie auch in den meisten Sozialen Netzwerken geben viele Profile nicht den wahren Menschen preis, der dahinter steht. Persönliche Daten und Bezahlinformationen werden hinter einer sorgfältig kreierten Identität oder digitalen Persönlichkeit verborgen, oder hinter – wie Jung es formulieren würde: „einer Art von Maske, die einerseits entworfen wurde, um einen eindeutigen Eindruck auf andere zu hinterlassen, und um andererseits das wahre Wesen des Individuums zu verbergen.“ Doch was passiert, wenn die Maske ganz unerwartet fällt? Wenn der Account und alle damit zusammenhängenden, gespeicherten sensiblen Informationen unrechtmäßig unbekannten Dritten in die Hände fallen? Erstaunlicherweise wird dieser Alptraum laut Steams eigener Statistik jeden Monat für mehr als 77.000 ahnungslose Nutzer Wirklichkeit. Die finanziellen Auswirkungen lassen sich nur schwer abschätzen, da Steam nicht verpflichtet ist, diese Information zu veröffentlichen. Obwohl es eine Reihe von Community-Webseiten gibt (wie etwa SteamSpy oder SteamCompanion), auf denen man den Wert des eigenen Accounts berechnen kann, haben wir nicht eine einzige Webseite gefunden, die Verlaufsprotokolle führt, um einen Durchschnittswert zu errechnen. Eine fundierte Vermutung, die auf verfügbaren Passwort-Dumps basiert, ergibt einen Wert von nur 15 US-Dollar für die Zugangsdaten auf dem Schwarzmarkt.

Doch das ist lediglich der Preis für den Zugriff auf das Profil des Opfers – was die bösen Jungs danach damit machen könnten, kann weitaus höhere Gewinne bringen.

Ihre Zugangsdaten – alle wollen sie

Ein typisches Stealer-Tool, das für sich in Anspruch nimmt, den Diebstahl von Steam-Gegenständen zu revolutionieren. Die Webseite ist seit geraumer Zeit offline und der dazugehörige Twitter-Account ist im Grunde genommen tot. Doch ihr Erbe lebt weiter, denn die Malware wird weiterhin in freier Wildbahn verbreitet.

In den dunklen Ecken des Internets sind Phishing- und Spear-Phishing-Attacken unter den aktivsten Verbreitern von Social Engineering immer eine beliebte Methode. Nun stehen allerdings die Vertreter einer neuen Malware-Züchtung, bekannt unter dem nicht ganz unschuldigen Sammelbegriff „Steam Stealer„, im Verdacht, zahllose Nutzer-Accounts von Valves Vorzeige-Plattform gestohlen zu haben. Die Steam Stealer waren aus einem mittlerweile nicht mehr erreichbaren russischen Forum durchgesickert und wurden zunächst nur bitweise weiterentwickelt. Steam Stealer begannen zu boomen, als Cyberkriminellen auf der ganzen Welt klar geworden war, dass sie extrem lukrativ sind. Es gibt sie käuflich zu erwerben, in verschiedenen Versionen mit unterschiedlichen Funktionen, kostenlosen Upgrades, Gebrauchsanweisungen, kundenspezifischen Tipps für ihre Verteilung und vielem mehr. Steam Stealer haben die Bedrohungslandschaft für das Unterhaltungs-Ökosystem in einen Spielplatz des Teufels verwandelt.

Ihre Zugangsdaten – alle wollen sie

Eine fast perfekt geklonte Webseite des Gaming-Messengers Razer Comms – zusammen mit TeamSpeak eine der beliebtesten Methoden, Anwender dazu zu bringen, diese Art von Malware zu installieren.

Einer der Gründe für die Zunahme der auf Gamer spezialisierten Malware ist die Einfachheit, mit der sie betrieben werden kann, und die Allgegenwart derartiger Angebote. Mit dem Ziel, jeder Person Stealer-Programme zu verkaufen, die das Geld dafür aufbringen kann, wählt eine Unmenge von Script-Kiddies und technisch talentierten Individuen genau diesen Bedrohungstyp, um in die Cyberkriminalität einzusteigen.

Ihre Zugangsdaten – alle wollen sie

Alles in einem einfachen Paket, einsatzbereit und mit umfangreichen Gebrauchsanweisungen. Unterschiedliche Funktionen werden als Teil jedes Steam-Stealer-Pakets angeboten, das ab 15 US-Dollar zu haben ist.

Neue Features zu einem Steam Stealer hinzuzufügen ist einfach. Der durchschnittliche Entwickler muss lediglich seine bevorzugte Programmiersprache wählen und gerade genug über das Design und das Protokoll des Steam-Clients wissen. Es gibt viele verfügbare APIs und Bibliotheken, die sich nahtlos mit der Steam-Plattform verbinden und die notwendigen Anstrengungen deutlich verringern. Es ist nicht ungewöhnlich, dass die Online-Gangster legitime Tools und Bibliotheken für ihre ruchlosen Kampagnen umfunktionieren, obwohl die Möglichkeiten in diesem Fall verlockend sind, sie gegen Bezahlung anderen in die Hände zu spielen.

Ihre Zugangsdaten – alle wollen sie

Für einen Anfangspreis von 200 Rubeln (drei US-Dollar) erhält man die Nutzungsrechte für einen Zugangsdaten-Stealer für die Steam-Plattform. Für einen Preis von 450 Rubeln (sieben US-Dollar) gibt’s noch Quellcode und Gebrauchsanweisung obendrauf.

Jeder Schritt dieses Prozesses, von der ersten Verbreitung der Malware bis zum Einstreichen des Profits, nachdem die Infektion abgeschlossen wurde, wird in einem der online verfügbaren Leitfäden dokumentiert (selbstverständlich gegen Aufpreis). In diesem Geschäftsmodell hat alles seinen Preis und jeder versucht, ihn zu unterbieten, um das Angebot für potenzielle Kunden noch attraktiver zu machen. Malware-as-a-Service ist kein revolutionärer Ansatz. Doch bei solchen Arten von Schadkampagnen beginnen die Preise irgendwo bei 500 US-Dollar aufwärts (orientiert an früheren Ransomware-as-a-Service-Märkten).

Ihre Zugangsdaten – alle wollen sie

In der „Stealing-Branche“ wird offensichtlich großes Gewicht auf „Marketing“ gelegt.

Im Fall von Steam Stealer müssen Möchtegern-Kriminelle normalerweise einen lächerlich geringen Preis für die Nutzung der Malware zahlen. Gegen Aufpreis gibt es den gesamten Quellcode und eine Gebrauchsanweisung, was dieses Schema lachhaft und furchteinflößend zugleich macht. Sicherlich repräsentieren die oben genannten Preise das untere Ende des Spektrums, aber man wird kaum einen Stealer-Schädling finden, der für mehr als 30 US-Dollar verkauft wird. Bei so viel Konkurrenz in diesem Nischenmarkt ist es schwierig, seinen Lebensunterhalt als Cyberkrimineller zu bestreiten, wenn man es nicht wagt, noch einen Schritt weiter zu gehen.

Wenn man bedenkt, wie sich Schädlinge des Typs Steam Stealer von einer „simplen“ Malware zu Schadprogrammen entwickelt haben, die alle Ecken des Internets überschwemmen, so kann man sich vorstellen, dass wir es hier in der Tat mit einem prosperierenden Geschäft zu tun haben.

In der Vergangenheit verwendeten die Steam Stealer keine Obfuskation irgendeiner Art, und manchmal wurden FTP- oder SMTP-Zugangsdaten in Klartext versendet. Nach und nach wurden die Stealer allerdings verbessert, ebenso wie auch der Social-Engineering-Aspekt: Die Screenshots wurden besser, die kopierten Seiten besser, die Verteilungsmethoden vielfältiger und die Bots „lernten“, menschliches Verhalten besser zu imitieren.

Eine kurze Aufstellung der vergangenen Trends:

  • Einsatz von Obfuskatoren, um die Analyse und Detektion zu erschweren.
  • Einsatz von Dateierweiterungen, die standardmäßig von Windows verborgen werden (gefälschte „Screensaver“-Dateien).
  • Einsatz von NetSupport hinzugefügt (bietet entfernten Zugriff für die Angreifer).
  • Einsatz von gefälschten TeamSpeak-Servern.
  • Einsatz von automatischer Umgehung von Captcha (DeathByCaptcha und andere).
  • Einsatz von gefälschten Game-Servern (Counter-Strike: vor allem Global Offensive).
  • Einsatz von Pastebin, um den tatsächlichen Steam Stealer abzurufen.
  • Einsatz von gefälschten Screenshots von Webseiten, die Imgur, LightShot oder SavePic kopieren.
  • Einsatz von gefälschter Sprach-Software, die TeamSpeak, RazerComms und andere imitiert.
  • Einsatz von URL-Kurzdiensten wie bit.ly.
  • Einsatz von Dropbox, Google Docs, Copy.com und anderen, um die Malware zu hosten.

Die aktuellen Trends sind:

  • Einsatz von gefälschten Chrome-Erweiterungen oder JavaScript – über Glücksspiel-Webseiten.
  • Einsatz von gefälschten Spiel-Websites, gefälschte Depot-Programme eingeschlossen.
  • Einsatz von AutoITWrapper, um die Analyse und Detektion zu erschweren.
  • Einsatz von RATs (Fernsteuerungs-Trojaner) wie zum Beispiel NanoCore oder DarkComet.

Die Liste könnte noch länger werden – das Jahr 2016 hat gerade erst begonnen.

Hier geht es zum Download des vollständigen Berichts (PDF, englisch).

Die Steam-Stealer-Branche in Zahlen

Die folgenden Statistiken spiegeln die Zeit zwischen dem 1. Januar 2015 und dem 1. Januar 2016 wider und beschränken sich auf die am weitesten verbreiteten Malware-Familien der Kategorie Steam Stealer. Doch da viele Schädlinge mit heuristischen oder unterschiedlichen generischen Methoden detektiert werden, ist das Problem tatsächlich noch viel größer und es ist schwierig, genaue Werte zu erhalten. Der prozentuale Anteil infizierter Computer wird nur für Länder mit über 1.000 Detektionen im entsprechenden Zeitraum berechnet (Baseline).

Statistik für Trojan-Downloader.MSIL.Steamilik

Ihre Zugangsdaten – alle wollen sie

Trojan-Downloader.MSIL.Steamilik Geografie

Ihre Zugangsdaten – alle wollen sie

Trojan-Downloader.MSIL.Steamilik Prozentualer Anteil infizierter Nutzer

Trojan-Downloader können neue Versionen von Schadprogrammen auf die Computer der Nutzer herunterladen und dort installieren, unter anderem auch Trojaner sowie unglaublich lästige Adware. Dieser zweistufige Infektionsprozess ermöglicht es den Gaunern, ihre Komponenten zu modularisieren und einen Erst-Downloader mit eingeschränkter Funktionalität zu entwickeln. Dieser lädt dann den schädlichen Inhalt herunter, sobald sich die Umgebung als lohnend erwiesen hat.

Statistik für Trojan.MSIL.Steamilik

Ihre Zugangsdaten – alle wollen sie

Trojan.MSIL.Steamilik Geografie

Ihre Zugangsdaten – alle wollen sie

Trojan.MSIL.Steamilik Prozentualer Anteil infizierter Nutzer

Diese weitgefasste Trojaner-Kategorie enthält alle schädlichen Programme, die Aktionen durchführen, die nicht vom Nutzer genehmigt wurden. Bemerkenswert ist die MSIL-Unterkategorie, die einen .NET-Assembler darstellt. Der Aufstieg der Trojaner und die vermehrte Nutzung des Aushänge-Entwicklungs-Frameworks von Microsoft gehen Hand in Hand miteinander und machen allen Entwicklern (auch denen, die keinen „weißen Hut“ tragen) das Leben leichter.

Statistik für Trojan-PSW.MSIL.Steam

Ihre Zugangsdaten – alle wollen sie

Trojan-PSW.MSIL.Steam Geografie

Ihre Zugangsdaten – alle wollen sie

Trojan-PSW.MSIL.Steam Prozentualer Anteil infizierter Nutzer

Trojan-PSW-Programme sind auf den Diebstahl von Benutzerkonten auf infizierten Computern spezialisiert, wie etwa Login-Daten oder Passwörter. PSW (Password Stealing Ware) durchsucht nach ihrem Start die Registry oder bestimmte Dateien, in denen verschiedene vertrauliche Daten gespeichert sind. Werden solche Daten gefunden, schickt der Trojaner sie an seinen „Herrn“. Methoden wie E-Mail, FTP oder das Web (inklusive der Daten in einer Anfrage) können eingesetzt werden, um die gestohlenen Daten zu übermitteln. Brasilien macht auf sich aufmerksam, da es den zweiten Platz in dieser Malware-Kategorie belegt, gleich nach der Russischen Föderation. Lateinamerika ist sicherlich ein wachsendes Malware-Ökosystem, und auch die Gamer bleiben nicht unbeachtet.

Ihre Zugangsdaten – alle wollen sie

Typ des verwendeten Obfuskators

Wegen ihrer großen Bandbreite an Obfuskatoren, die das intellektuelle Eigentum schützen sollen, in Verbindung mit einem Rückgang der Detektionen durch Sicherheitslösungen, greifen die Cyberkriminellen auf Open-Source-Projekte zurück. Dazu gehören zum Beispiel „ConfuserEx“ (Nachfolger des berüchtigten Confuser project) oder sogar kommerziell verfügbare Obfuskatoren für das .NET-Framework wie SmartAssembly. Für die Berechnung der oben stehenden Statistik zu den Obfuskatoren haben die Kaspersky-Experten eine Gruppe von über 1.200 Samples ausgewertet, die mit verschiedenen Mitteln zusammengetragen wurden. Alle Hash-Werte für diese Sammlung stehen in unserem öffentlich zugänglichem IOC-Respositorium.

Valves Gegenmaßnahmen

Valve hat das Problem mit den Steam Stealern eingeräumt. Doch auch wenn die Zahl der integrierten Schutzmaßnahmen fortlaufend erhöht wird, verbreiten sich Steam Stealer ungezügelt weiter. Viele Nutzer werden sich an einem bestimmten Punkt fragen, was eigentlich schief gelaufen ist. Unter den neuen Sicherheitsmaßnahmen finden sich viele, die netzwerkweit übernommen wurden, und andere, die man problemlos im eigenen Account konfigurieren kann, um solche Vorfälle zu vermeiden und eine sichere Game-Session genießen zu können:

  • Zwei-Faktoren-Authentifikation entweder über E-Mail oder die mobile App Steam Guard.
  • Blocken von URLs auf der gesamten Steam-Plattform.
  • Nickname-Zensur (Steam/Valve).
  • Captcha auf Trades (kurzzeitig), wurde dann umgangen.
  • Eingeschränkte Accounts wurden eingeführt.
  • Bestätigungs-Mails von Steam über die Nutzung des Markts und über den Handel mit Gegenständen.
  • Zweite E-Mail-Adresse zur Bestätigung.
  • Zahlung von fünf US-Dollar, um „zum freien Missbrauch“ genutzte Accounts zu bekämpfen (ausgedehnt auf eingeschränkte Accounts).
  • Informationen darüber, wer mit wem handelt (Eintrag).
  • Der Markt wird gesperrt, wenn man sich zum Beispiel von einem neuen Gerät aus einloggt oder das Profilpasswort ändert.
  • Bestätigungen von Steam Mobile Trade.
  • Wiederherstellung des Steam-Kontos per Telefon.
  • Eingeschränkter Chat von Nutzern, mit denen man keine Freunde oder Game-Server teilt oder keine Multi-User-Chat-Beziehungen pflegt.
  • Restriktivere Blockierungsverweise von Spam und betrügerischen Webseiten.
  • Handelsstopp-Dauer (15 Tage).

Als absolut minimale Präventivmaßnahmen empfehlen wir den Nutzern, sich als mit den Updates und neuen Sicherheitsfeatures von Steam vertraut zu machen und die Zwei-Faktoren-Authentifikation zu aktivieren. Denken Sie daran, dass sich die Verbreitung in erster Linie (aber nicht ausschließlich) über gefälschte Webseiten vollzieht, die die Malware verteilen, oder mit Hilfe von Social-Engineering-Methoden mit direkten Nachrichten an das Opfer. Halten Sie Ihre Sicherheitslösung immer auf dem neuesten Stand und deaktivieren Sie sie nie; die meisten dieser Produkte besitzen wie die Lösungen von Kaspersky Lab heutzutage einen „Gaming Modus“, in dem Sie Ihre Spiele ungestört genießen können, also keine Benachrichtigungen eingeblendet bekommen. Wir haben alle Optionen aufgelistet, die Steam den Nutzern bietet, um ihre Accounts zu schützen. Cyberkriminelle haben es darauf abgesehen, viele Rechner zu infizieren, und wenn es zu kompliziert wird, ziehen sie weiter zum nächsten Ziel. Befolgen Sie diese simplen Empfehlungen und werden Sie nicht zu einer leichten Beute für die Angreifer.

Wenn Sie meinen, die aktuelle Lage mit Schädlingen der Kategorie Steam Stealer sei beängstigend, so wird es uns angst und bange, wenn wir uns vorstellen, womit wir es zu tun bekommen, wenn Gabe Newell Half Life 3 herausbringt. Spielen Sie weiter, aber sicher, und genießen Sie Steam!

Ähnliche Beiträge

Es gibt 2 Kommentare
  1. Robert Schenk

    Ich habe schon öfters meinKaspersky Update gemacht, totzdem meldet das Program veraltede Daten, Stand 09. 04.2016.
    Es scheint das Program die Updates nicht annimmt. Ich habe das Program gekauft und es hat noch 632 Tage Gültigkeit.
    Ich bitte um Hilfe.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.