{"id":21976,"date":"2020-06-16T12:34:27","date_gmt":"2020-06-16T10:34:27","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=21976"},"modified":"2020-06-16T12:35:45","modified_gmt":"2020-06-16T10:35:45","slug":"gaming-password-stealers","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/gaming-password-stealers\/21976\/","title":{"rendered":"Ecco come i Trojan rubano gli account di gioco"},"content":{"rendered":"

Parliamo spesso delle minacce online in cui si imbattono i gamer, come malware nelle copie piratate, mod e cheat, per non parlare del phishing e di tanti altri tipi di truffe<\/a> in cui si potrebbe incorrere quando si acquistano o scambiano oggetti in-game. Non molto tempo fa, abbiamo esaminato i problemi legati all\u2019acquisto di account<\/a>. Fortunatamente, \u00e8 facile evitare queste minacce se ne siete a conoscenza.<\/p>\n

Ma ecco un altro pericolo da cui stare alla larga: i password stealer. Quando vengono identificati dalle nostre soluzioni di sicurezza, di solito hanno la dicitura Trojan-PSW.(qualcosa). Sono Trojan progettati per rubare account o per appropriarsi di combinazioni di username\/password e token di sessione.<\/p>\n

Potreste aver letto degli Steam stealer<\/a>, Trojan che rubano gli account della piattaforma di gaming pi\u00f9 popolare al mondo. Ma esistono molti altri servizi altrettanto famosi come Battle.net, Origin, Uplay o Epic Games Store, tutti con milioni di giocatori all\u2019attivo che attirano l\u2019interesse dei cybercriminali. Ovviamente, gli stealer sono un pericolo anche per loro.<\/p>\n\n

P<\/strong>assword stealer: cosa sono?<\/h2>\n

I password stealer sono un tipo di malware che ruba le informazioni dell\u2019account. In sostanza, \u00e8 simile a un Trojan bancario ma, invece di intercettare o sostituire i dati inseriti, di solito ruba informazioni gi\u00e0 custodite sul computer: nomi utente e password salvati sul browser<\/a>, cookie e altri file che si trovano sul disco rigido del dispositivo infetto. Inoltre, a volte gli account di gioco sono solo uno dei bersagli dei ladri, alcuni stealer sono altrettanto interessati alle credenziali bancarie online.<\/p>\n

Gli stealer possono appropriarsi degli account in molti modi. Per esempio, prendete il Trojan stealer Kpot (alias Trojan-PSW.Win32.Kpot), che si diffonde principalmente tramite e-mail di spam con allegati che sfruttano le vulnerabilit\u00e0 (di Microsoft Office, ad esempio) per scaricare il malware vero e proprio sul computer.<\/p>\n

Successivamente, lo stealer trasferisce le informazioni sui programmi installati sul computer al server command & control e attende istruzioni. Potrebbe rubare cookie, appropriarsi degli account Skype e Telegram e molto altro ancora.<\/p>\n

Inoltre, pu\u00f2 rubare file con estensione .config dalla cartella %APPDATA%Battle.net che, come potete intuire, \u00e8 collegata a Battle.net, l\u2019app di gioco di Blizzard. Tra le altre cose, questi file contengono il token di sessione del giocatore: i cybercriminali non ottengono username e password effettivi, ma possono usare il token e spacciarsi per l\u2019utente.<\/p>\n

Perch\u00e9 farlo? Semplice: possono vendere rapidamente tutti gli oggetti in-game della vittima, a volte si pu\u00f2 racimolare un bel gruzzoletto, una situazione che potrebbe verificarsi in vari giochi Blizzard, tra cui World of Warcraft<\/em> e Diablo<\/em> 3.<\/p>\n

Altri malware, che prendono di mira Uplay, l\u2019app di Ubisoft, si chiama Okasidis, e le nostre soluzioni lo identificano come Trojan-Banker.MSIL.Evital.gen. Per quanto riguarda gli account di gioco, si comporta esattamente come il Trojan Kpot, tranne che per il fatto che ruba due file specifici: %LOCALAPPDATA%%Ubisoft Game Launcher\\users.dat e %LOCALAPPDATA%Ubisoft Game Launcher\\settings.yml.<\/p>\n

Uuplay attira l\u2019attenzione anche di un malware chiamato Thief Stealer (HEUR:Trojan.Win32.Generic), che preleva tutti i file dalla cartella %LOCALAPPDATA%\\Ubisoft Game Launcher\\settings.yml.<\/p>\n

Inoltre, Uplay, Origin e Battle.net sono tutti bersagli del malware BetaBot (Trojan.Win32.Neurevt); tuttavia, questo Trojan agisce diversamente dagli altri. Se l\u2019utente visita un URL contenente determinate parole chiave (ad esempio indirizzi con le parole \u201cuplay\u201d oppure \u201corigin\u201d), il malware raccoglie i dati dai moduli di queste pagine. In altre parole, i nomi utente degli account e le password inserite nelle pagine vanno direttamente nelle mani degli hacker.<\/p>\n

In tutti e tre i casi \u00e8 improbabile che l\u2019utente si accorga di qualcosa, il Trojan non si palesa in alcun modo sul computer, non viene visualizzata alcuna finestra con richieste, ma ruba semplicemente file e\/o dati di nascosto.<\/p>\n

Come difendersi dai Trojan assetati di account di gioco<\/h2>\n

In generale, gli account di gioco vanno protetti pi\u00f9 o meno come qualsiasi altro dato informatico, stealer o meno. Ecco qualche consiglio per evitare i Trojan sugli account di gaming:<\/p>\n