Arnaques, Malware, Virus,.. qui ciblent Steam

[Malekal_morte]

Steam est une plateforme de jeux très populaire et donc très convoitée. Récemment, Steam a été contraint d'avouer que ~77 000 comptes ont été volés ce qui l'a poussé à mettre en avant l' Authentificateur mobile Steam Guard qui d'ailleurs ne fait pas l'unanimité auprès des gamers, puisque des géants, comme Google, Facebook, etc.. récupèrent de ce fait les numéros de téléphone des appareils mobiles des utilisateurs.

Voici quelques informations sur des méthodes connues et utilisées par les attaquants pour récupérer l'accès à des comptes. Vous allez voir que les attaques ne diffèrent pas trop de celles qui existent depuis de nombreuses années et qui reposent sur du social engineering.


Phishing Steam

La technique d'hameçonnage "Phishing Steam" est similaire à celle que l'on rencontre par exemple sur les banques, les FAI et autres services. Vous recevez une fausse page ou un lien vers une fausse page à l'apparence de Steam où il vous est demandé de vous identifier. Les identifiants ainsi récupérés permettront d'accéder sans embuche à votre compte. Comme vous le constatez ces attaques ne reposent que sur la naïveté ou l'erreur d'étourderie.

Quelques exemples au design du portail "steamcommunity.com"








Malware Steam

Parmi les codes malveillants se trouvent les familles des : programmes de vols d'identifiants (stealers), enregistreurs de frappes (keyloggers), outils de prise en main à distance (RATs), .. Ils peuvent être distribués de plusieurs façons mais généralement c'est via de fausses pages qui proposent de faux programmes Steam. Les faux installeurs simulent quelques traitements puis affichent l'interface de connexion au compte Steam, on y croirait presque... sauf qu'au lieu de se connecter, la victime envoi silencieusement aux cybercriminels ses identifiants. Autre méthode de distribution, via les lieux virtuels de discussion ( IRC, MSN,... ) ou les réseaux sociaux ( Facebook, Twitter,... ). Vous recevez un message avec un lien vers le piège, il peut s'agir d'un zip ou d'une photo avec une double extension comme par exemple ".jpg.src".



Il existe aussi les "faux shop" comme des sites d'échange d'items.


Au bout, un fichier a exécuté qui conduit à l'installation d'un malware.


Il y a également de faux services en ligne, de faux tutoriaux, de fausses astuces, de fausses tricheries, de faux codes, de faux cracks, de faux patchs, de faux conseils, ... toujours dans le but de faire télécharger et exécuter un maliciel.


Quelques conseils

Soyez toujours extrêmement vigilants quand on vous demande de cliquer sur un lien ou d'exécuter un programme inconnu. Ce n'est pas parce que la personne vous affiche des résultats négatifs sur les détections des antivirus que ça n'est pas une saloperie. Si vous avez un doute sur un fichier que vous avez téléchargé, venez vérifier votre machine sur notre forum. Le reste de la sécurité : Comment sécuriser son Windows

[Malekal_morte]

Un autre témoignage sur le forum commentcamarche avec un cas tout aussi classique et rappellent le temps des vers MSN. La victime reçoit un message pour lui faire télécharger une image qui s'avère être un exécutable.

Les adresses utilisent des noms pouvant faire penser à des hébergeurs d'images :

Code : Tout sélectionner

img-paint.com/img64789132546554
store4pro.biz/lMAGE_132913
www.picturesgood.info./IMG_02112014
good-screen.net/image87252.jpeg

Steam trade malware

Le malware est d'ailleurs plutôt mal détecté :

SHA256: 274828e0694b0538eb14ad060aacbfd82d8dc64143debb4fe817427d239f8791
Nom du fichier : image_057.scr
Ratio de détection : 3 / 54
Date d'analyse : 2015-12-24 08:50:57 UTC (il y a 2 minutes)


Antivirus Résultat Mise à jour
Avira TR/Dropper.MSIL.198625 20151224
Kaspersky Trojan-Ransom.Win32.Blocker.hzmk 20151224
Qihoo-360 QVM03.0.Malware.Gen 20151224

On retrouve aussi ce genre de messages en commentaire sur des profils ou en pleine discussion.
Probablement des comptes piratés qui envoient ces messages automatiquement.
Steam a mis en place un filtre qui supprime le lien malicieux.

Steam trade malware

Steam trade malware

[Malekal_morte]

Des extensions pour Google Chrome malicieuses chargée de voler l'inventaire à la connexion sur Steam. Dans l'exemple, ce sont des extensions "CSGO Double"

CSGODouble Theme Changer
CS:GO Double Withdraw Helper
Csgodouble AutoGambling Bot
Improved CSGODouble

Extensions malicieuses pour Google Chrome

[Malekal_morte]

Malwarebytes a publié une entrée dans son blog, concernant une campagne Steam : https://blog.malwarebytes.org/fraud-sca ... -rat-race/

Rien de vraiment nouveau dans les méthodes utilisées par rapport à ce qui est évoqué dans ce topic sur les malwares Steam.
Il s'agit de spams sur Twitter.



qui conduisent à un faux site Steam : steam-community[DOT]com



Kaspersky a aussi publié une entrée sur son site concernant les malwares Steam.
=> https://securelist.com/blog/research/74 ... ong-to-us/
avec un PDF à télécharger : https://kasperskycontenthub.com/securel ... ch_ENG.pdf

Dont un malware qui se nomme Steam Predator, vendu environ 500$
Ce dernier vise les fichiers .vdf contenant dans le profil Steam.



La réparation des campagnes Trojan-PSW.MSIL.Steam.
La France est touché à 3%.

[Malekal_morte]

Il ne s'agit pas d'un malware qui vise steam ou utilise steam pour s'installer mais cette fois-ci d'un jeu : Counter Strike.
Counter Strike (C.S) : 39% des serveurs infectés par un malware qui peut s'installer de manière automatique en exploitant une vulnérabilité.

Plus d'infos : Counter Strike (C.S) : 39% des serveurs infectés.