Truva atları oyun hesaplarını nasıl çalar?

Belirli bir kötü amaçlı yazılım türü, Origin, Battle.net ve Uplay gibi oyun hizmetleri hesapları dahil olmak üzere bu hesapların kullanıcı kimlik bilgilerini arar.

Oyun içi öğeleri satın alırken veya değiştirirken oyuncuların karşılaştığı kimlik avı ve her türlü dolandırıcılık yanı sıra korsan kopyalar, modlar ve hilelerdeki kötü amaçlı yazılımlar da dahil çevrimiçi tehditlerden sık sık bahsediyoruz. Kısa zaman önce hesap satın alma ile ilgili sorunlara değinmiştik. Neyse ki, bu tehditleri biliyorsanız bunlardan kaçınmak kolaydır.

Ancak burada bilmeniz ve karşı koymanız gereken başka bir sorun var: Şifre çalıcılar. Güvenlik çözümlerimiz bunları yakaladığında, genellikle Trojan-PSW (veya benzeri) olarak adlandırılıyorlar. Şifre çalıcılar, kullanıcı adı/şifre kombinasyonları veya oturum belirteçleri gibi hesapları çalmak için tasarlanmış Truva atlarıdır.

Dünyanın en popüler oyun servisi Steam’deki hesapları çalan Truva atları hakkında bir şeyler okumuş olabilirsiniz. Ancak bu durumdan etkilenen Battle.net, Origin, Uplay ve Epic Games Store gibi birçok platform var. Bütün oyun platformlarının milyonlarca dolara sahip olan bir kitlesi var, bu yüzden doğal olarak saldırganlar bu platformlarla ilgileniyorlar ve hesapları çalmak için şifre çalıcılar üretiyorlar.

Şifre çalıcı nedir?

Şifre çalıcılar, hesap bilgilerini çalan bir kötü amaçlı yazılım türüdür. Şifre çalıcılar temelde bankacılık Truva Atı’na benzer. Ancak girilen verileri yakalamak veya değiştirmek yerine, genellikle bilgisayarda depolanmış bilgileri çalar: Tarayıcıda kaydedilen kullanıcı adları ve şifreler, çerezler ve virüs bulaşmış cihazın sabit diskinde olan diğer dosyalar. Dahası, bazen oyun hesapları, hırsızların hedeflerinden sadece biridir. Bazı saldırganlar çevrimiçi bankacılık kimlik bilgilerinizle ilgilendiği kadar oyun hesaplarınızın kimlik bilgileriyle de ilgili olabilir.

Hırsızlar birçok şekilde hesap alabilirler. Şifre çalıcı Truva Atı Kpot’u (diğer adıyla Trojan-PSW.Win32.Kpot) örnek olarak alın. Asıl kötü amaçlı yazılımı bilgisayara indirmek için güvenlik açıklarını (örneğin, Microsoft Office’te olan bir güvenlik açığı) kullanan e-posta spamlerindeki ekler aracılığıyla yayılır.

Ardından, çalıcılar bilgisayarda yüklü programlar hakkındaki bilgileri komut ve kontrol sunucusuna aktarır ve komutların ilerlemesini bekler. Olası komutlar arasında çerezleri, Telegram ve Skype hesaplarını çalmak ve çok daha fazlası vardır.

Tahmin edebileceğiniz gibi Blizzard’ın kendi oyun başlatıcısı uygulaması olan Battle.net’e bağlı olan %APPDATA%\Battle.net klasöründeki .config uzantılı dosyaları çalabilir. Diğer şeylerin yanı sıra, bu dosyalar oyuncunun oturum belirtecini içerir. Siber suçlular, sadece kullanıcı adını ve şifreyi alamazlar, ancak bu belirteçleri hesap sahibi gibi davranmak için de kullanabilirler.

Neden bunu yapıyorlar? Basit: Mağdurun tüm oyun içi eşyalarını hızlı bir şekilde satabilir ve bazen bunu yaparak iyi para kazanabilirler. Bu, World of Warcraft ve Diablo 3 dahil olmak üzere çeşitli Blizzard oyunlarında uygulanabilir bir senaryodur.

Ubisoft’un oyun başlatıcısı uygulaması Uplay’ı hedefleyen diğer kötü amaçlı yazılımlar, Okasidis adıyla tanınıyor ve çözümlerimiz buna Trojan-Banker.MSIL.Evital.gen adını veriyor. Oyun hesapları açısından, iki belirli dosyayı çalması dışında tam olarak Kpot Truva atı gibi davranır. Bu dosyalar: %LOCALAPPDATA%\Ubisoft Game Launcher\users.dat ve %LOCALAPPDATA%\Ubisoft Game Launcher\settings.yml.

Uplay ayrıca %LOCALAPPDATA%\Ubisoft Game Launcher\ klasöründeki tüm dosyaları çalan Thief Stealer (HEUR:Trojan.Win32.Generic olarak tespit edildi) olarak adlandırılan bir kötü amaçlı yazılım tarafından da hedef alınıyor.

Ayrıca, Uplay, Origin ve Battle.net de BetaBot kötü amaçlı yazılımının (Trojan.Win32.Neurevt olarak tespit edildi) hedefidir. Ancak bu Truva Atı’nın farklı bir çalışma şekli var. Kullanıcı belirli anahtar kelimeleri içeren bir URL’yi (örneğin, içerisinde “uplay” veya “origin” kelimesi olan adresler) ziyaret ederse kötü amaçlı yazılım bu sayfalardaki formlardan veri toplanmasını sağlar. Yani, bu sayfalara girilen hesap kullanıcı adları ve şifreler doğrudan saldırganlara gider.

Her üç durumda da, kullanıcının bir şey fark etmesi pek mümkün değildir. Truva atı, bilgisayarda hiçbir şekilde kendini göstermez, istek pencereleri görüntülemez, sadece kurnazca dosyaları ve/veya verileri çalar.

Oyun hesaplarını çalmak isteyen Truva atlarına karşı nasıl korunuruz?

Temelde, oyun hesaplarının hırsızlara karşı da dahil olmak üzere koruduğumuz her şeyle aynı şekilde korunması gerekir. Truva atı hırsızlarını engellemek için aşağıdaki önerileri izleyin:

  • Hesabınızı iki faktörlü kimlik doğrulamayla koruyun. Steam’in Steam Guard, Battle.net’in Blizzard Authenticator uygulamaları var. Epic Games Store ise kimlik doğrulayıcı uygulaması ile mesaj veya e-posta aracılığıyla kimlik doğrulaması arasında bir seçim sunuyor. Hesabınız iki faktörlü kimlik doğrulama ile korunuyorsa siber suçluların hesaplarınıza girmek için bir kullanıcı adı ve şifreden daha fazlasına ihtiyacı olacaktır.
  • Şüpheli sitelerden veya korsan yazılımlardan modlar indirmeyin. Saldırganlar, insanların ücretsiz olan oyunlar ve modları çok sevdiklerinin farkındadır ve crack’lere, hilelere ve modlara gizlenmiş kötü amaçlı yazılımlardan yararlanırlar.
  • Güvenilir bir güvenlik çözümü kullanın. Örneğin, Kaspersky Security Cloud tüm bu hırsızları yakalar ve herhangi bir şeyi çalmalarını engeller.
  • Oyun oynarken antivirüsünüzü kapatmayın. Bunu yaparsanız bir şifre çalıcı aniden devreye girebilir. Kaspersky Security Cloud çözümümüzün oyun modu, antivirüsün oyun sırasında çok fazla sistem kaynağı tüketmesini önler. Çözümümüzün performans veya kare hızı üzerinde hiçbir etkisi yoktur, siz oyun oynarken sadece güvenlikle ilgilenir.
İpuçları

Ev güvenliğinin sağlanması

Güvenlik şirketleri, evinizi hırsızlık, yangın ve diğer olaylardan korumak için başta kameralar olmak üzere çeşitli akıllı teknolojiler sunuyor. Peki ya bu güvenlik sistemlerinin kendilerini davetsiz misafirlerden korumak? Bu boşluğu biz dolduruyoruz.