Ecco come i Trojan rubano gli account di gioco

Un particolare tipo di malware va alla ricerca delle credenziali degli utenti, compresi gli account su piattaforme di gaming come Origin, Battle.net e Uplay.

Parliamo spesso delle minacce online in cui si imbattono i gamer, come malware nelle copie piratate, mod e cheat, per non parlare del phishing e di tanti altri tipi di truffe in cui si potrebbe incorrere quando si acquistano o scambiano oggetti in-game. Non molto tempo fa, abbiamo esaminato i problemi legati all’acquisto di account. Fortunatamente, è facile evitare queste minacce se ne siete a conoscenza.

Ma ecco un altro pericolo da cui stare alla larga: i password stealer. Quando vengono identificati dalle nostre soluzioni di sicurezza, di solito hanno la dicitura Trojan-PSW.(qualcosa). Sono Trojan progettati per rubare account o per appropriarsi di combinazioni di username/password e token di sessione.

Potreste aver letto degli Steam stealer, Trojan che rubano gli account della piattaforma di gaming più popolare al mondo. Ma esistono molti altri servizi altrettanto famosi come Battle.net, Origin, Uplay o Epic Games Store, tutti con milioni di giocatori all’attivo che attirano l’interesse dei cybercriminali. Ovviamente, gli stealer sono un pericolo anche per loro.

Password stealer: cosa sono?

I password stealer sono un tipo di malware che ruba le informazioni dell’account. In sostanza, è simile a un Trojan bancario ma, invece di intercettare o sostituire i dati inseriti, di solito ruba informazioni già custodite sul computer: nomi utente e password salvati sul browser, cookie e altri file che si trovano sul disco rigido del dispositivo infetto. Inoltre, a volte gli account di gioco sono solo uno dei bersagli dei ladri, alcuni stealer sono altrettanto interessati alle credenziali bancarie online.

Gli stealer possono appropriarsi degli account in molti modi. Per esempio, prendete il Trojan stealer Kpot (alias Trojan-PSW.Win32.Kpot), che si diffonde principalmente tramite e-mail di spam con allegati che sfruttano le vulnerabilità (di Microsoft Office, ad esempio) per scaricare il malware vero e proprio sul computer.

Successivamente, lo stealer trasferisce le informazioni sui programmi installati sul computer al server command & control e attende istruzioni. Potrebbe rubare cookie, appropriarsi degli account Skype e Telegram e molto altro ancora.

Inoltre, può rubare file con estensione .config dalla cartella %APPDATA%Battle.net che, come potete intuire, è collegata a Battle.net, l’app di gioco di Blizzard. Tra le altre cose, questi file contengono il token di sessione del giocatore: i cybercriminali non ottengono username e password effettivi, ma possono usare il token e spacciarsi per l’utente.

Perché farlo? Semplice: possono vendere rapidamente tutti gli oggetti in-game della vittima, a volte si può racimolare un bel gruzzoletto, una situazione che potrebbe verificarsi in vari giochi Blizzard, tra cui World of Warcraft e Diablo 3.

Altri malware, che prendono di mira Uplay, l’app di Ubisoft, si chiama Okasidis, e le nostre soluzioni lo identificano come Trojan-Banker.MSIL.Evital.gen. Per quanto riguarda gli account di gioco, si comporta esattamente come il Trojan Kpot, tranne che per il fatto che ruba due file specifici: %LOCALAPPDATA%%Ubisoft Game Launcher\users.dat e %LOCALAPPDATA%Ubisoft Game Launcher\settings.yml.

Uuplay attira l’attenzione anche di un malware chiamato Thief Stealer (HEUR:Trojan.Win32.Generic), che preleva tutti i file dalla cartella %LOCALAPPDATA%\Ubisoft Game Launcher\settings.yml.

Inoltre, Uplay, Origin e Battle.net sono tutti bersagli del malware BetaBot (Trojan.Win32.Neurevt); tuttavia, questo Trojan agisce diversamente dagli altri. Se l’utente visita un URL contenente determinate parole chiave (ad esempio indirizzi con le parole “uplay” oppure “origin”), il malware raccoglie i dati dai moduli di queste pagine. In altre parole, i nomi utente degli account e le password inserite nelle pagine vanno direttamente nelle mani degli hacker.

In tutti e tre i casi è improbabile che l’utente si accorga di qualcosa, il Trojan non si palesa in alcun modo sul computer, non viene visualizzata alcuna finestra con richieste, ma ruba semplicemente file e/o dati di nascosto.

Come difendersi dai Trojan assetati di account di gioco

In generale, gli account di gioco vanno protetti più o meno come qualsiasi altro dato informatico, stealer o meno. Ecco qualche consiglio per evitare i Trojan sugli account di gaming:

  • Proteggete il votro account con l’autenticazione a due fattori. Steam ha Steam Guard, Battle.net ha Blizzard Authenticator, e su Epic Games Store potete scegliere tra un’applicazione di autenticazione e l’autenticazione via messaggio o e-mail. Se il vostro account è protetto dall’autenticazione a due fattori, i cybercriminali avranno bisogno di qualcosa di più di username e password per potervi accedere;
  • Non scaricate mod da siti sospetti o software pirata. Gli hacker sono ben consapevoli del desiderio delle persone di avere tutto gratis e lo sfruttano nascondendo malware nascosto in cheat, mod e codici craccati;
  • Utilizzate una soluzione di sicurezza affidabile. Ad esempio, Kaspersky Security Cloud identifica gli stealer e impedisce loro di ottenere dati;
  • Non disattivate l’antivirus quando giocate. Se lo fate, un password stealer potrebbe improvvisamente entrare in azione. La modalità di gioco di Kaspersky Security Cloud impedisce all’antivirus di utilizzare risorse del sistema in modo eccessivo durante il gioco. L’antivirus non influisce negativamente sulle prestazioni di gioco o sulla frame rate, ma sarà impegnato comunque a proteggervi.
Consigli