{"id":8475,"date":"2020-06-17T13:30:09","date_gmt":"2020-06-17T10:30:09","guid":{"rendered":"https:\/\/www.kaspersky.com.tr\/blog\/?p=8475"},"modified":"2020-06-17T13:30:09","modified_gmt":"2020-06-17T10:30:09","slug":"gaming-password-stealers","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.tr\/blog\/gaming-password-stealers\/8475\/","title":{"rendered":"Truva atlar\u0131 oyun hesaplar\u0131n\u0131 nas\u0131l \u00e7alar?"},"content":{"rendered":"

Oyun i\u00e7i \u00f6\u011feleri sat\u0131n al\u0131rken veya de\u011fi\u015ftirirken oyuncular\u0131n kar\u015f\u0131la\u015ft\u0131\u011f\u0131 kimlik av\u0131 ve her t\u00fcrl\u00fc doland\u0131r\u0131c\u0131l\u0131k yan\u0131 s\u0131ra korsan kopyalar, modlar ve hilelerdeki k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131mlar da dahil \u00e7evrimi\u00e7i tehditlerden s\u0131k s\u0131k bahsediyoruz<\/a>. K\u0131sa zaman \u00f6nce hesap sat\u0131n alma ile ilgili sorunlar<\/a>a de\u011finmi\u015ftik. Neyse ki, bu tehditleri biliyorsan\u0131z bunlardan ka\u00e7\u0131nmak kolayd\u0131r.<\/p>\n

Ancak burada bilmeniz ve kar\u015f\u0131 koyman\u0131z gereken ba\u015fka bir sorun var: \u015eifre \u00e7al\u0131c\u0131lar. G\u00fcvenlik \u00e7\u00f6z\u00fcmlerimiz bunlar\u0131 yakalad\u0131\u011f\u0131nda, genellikle Trojan-PSW (veya benzeri) olarak adland\u0131r\u0131l\u0131yorlar. \u015eifre \u00e7al\u0131c\u0131lar, kullan\u0131c\u0131 ad\u0131\/\u015fifre kombinasyonlar\u0131 veya oturum belirte\u00e7leri gibi hesaplar\u0131 \u00e7almak i\u00e7in tasarlanm\u0131\u015f Truva atlar\u0131d\u0131r.<\/p>\n

D\u00fcnyan\u0131n en pop\u00fcler oyun servisi Steam\u2019deki hesaplar\u0131 \u00e7alan Truva atlar\u0131<\/a> hakk\u0131nda bir \u015feyler okumu\u015f olabilirsiniz. Ancak bu durumdan etkilenen Battle.net, Origin, Uplay ve Epic Games Store gibi bir\u00e7ok platform var. B\u00fct\u00fcn oyun platformlar\u0131n\u0131n milyonlarca dolara sahip olan bir kitlesi var, bu y\u00fczden do\u011fal olarak sald\u0131rganlar bu platformlarla ilgileniyorlar ve hesaplar\u0131 \u00e7almak i\u00e7in \u015fifre \u00e7al\u0131c\u0131lar \u00fcretiyorlar.<\/p>\n\n

\u015eifre \u00e7al\u0131c\u0131 nedir?<\/h2>\n

\u015eifre \u00e7al\u0131c\u0131lar, hesap bilgilerini \u00e7alan bir k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131m t\u00fcr\u00fcd\u00fcr. \u015eifre \u00e7al\u0131c\u0131lar temelde bankac\u0131l\u0131k Truva At\u0131\u2019na benzer. Ancak girilen verileri yakalamak veya de\u011fi\u015ftirmek yerine, genellikle bilgisayarda depolanm\u0131\u015f bilgileri \u00e7alar: Taray\u0131c\u0131da kaydedilen<\/a> kullan\u0131c\u0131 adlar\u0131 ve \u015fifreler, \u00e7erezler ve vir\u00fcs bula\u015fm\u0131\u015f cihaz\u0131n sabit diskinde olan di\u011fer dosyalar. Dahas\u0131, bazen oyun hesaplar\u0131, h\u0131rs\u0131zlar\u0131n hedeflerinden sadece biridir. Baz\u0131 sald\u0131rganlar \u00e7evrimi\u00e7i bankac\u0131l\u0131k kimlik bilgilerinizle ilgilendi\u011fi kadar oyun hesaplar\u0131n\u0131z\u0131n kimlik bilgileriyle de ilgili olabilir.<\/p>\n

H\u0131rs\u0131zlar bir\u00e7ok \u015fekilde hesap alabilirler. \u015eifre \u00e7al\u0131c\u0131 Truva At\u0131 Kpot\u2019u (di\u011fer ad\u0131yla Trojan-PSW.Win32.Kpot) \u00f6rnek olarak al\u0131n. As\u0131l k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131m\u0131 bilgisayara indirmek i\u00e7in g\u00fcvenlik a\u00e7\u0131klar\u0131n\u0131 (\u00f6rne\u011fin, Microsoft Office\u2019te olan bir g\u00fcvenlik a\u00e7\u0131\u011f\u0131) kullanan e-posta spamlerindeki ekler arac\u0131l\u0131\u011f\u0131yla yay\u0131l\u0131r.<\/p>\n

Ard\u0131ndan, \u00e7al\u0131c\u0131lar bilgisayarda y\u00fckl\u00fc programlar hakk\u0131ndaki bilgileri komut ve kontrol sunucusuna aktar\u0131r ve komutlar\u0131n ilerlemesini bekler. Olas\u0131 komutlar aras\u0131nda \u00e7erezleri, Telegram ve Skype hesaplar\u0131n\u0131 \u00e7almak ve \u00e7ok daha fazlas\u0131 vard\u0131r.<\/p>\n

Tahmin edebilece\u011finiz gibi Blizzard\u2019\u0131n kendi oyun ba\u015flat\u0131c\u0131s\u0131 uygulamas\u0131 olan Battle.net\u2019e ba\u011fl\u0131 olan %APPDATA%\\Battle.net klas\u00f6r\u00fcndeki .config uzant\u0131l\u0131 dosyalar\u0131 \u00e7alabilir. Di\u011fer \u015feylerin yan\u0131 s\u0131ra, bu dosyalar oyuncunun oturum belirtecini i\u00e7erir. Siber su\u00e7lular, sadece kullan\u0131c\u0131 ad\u0131n\u0131 ve \u015fifreyi alamazlar, ancak bu belirte\u00e7leri hesap sahibi gibi davranmak i\u00e7in de kullanabilirler.<\/p>\n

Neden bunu yap\u0131yorlar? Basit: Ma\u011fdurun t\u00fcm oyun i\u00e7i e\u015fyalar\u0131n\u0131 h\u0131zl\u0131 bir \u015fekilde satabilir ve bazen bunu yaparak iyi para kazanabilirler. Bu, World of Warcraft<\/em> ve Diablo 3<\/em> dahil olmak \u00fczere \u00e7e\u015fitli Blizzard oyunlar\u0131nda uygulanabilir bir senaryodur.<\/p>\n

Ubisoft\u2019un oyun ba\u015flat\u0131c\u0131s\u0131 uygulamas\u0131 Uplay\u2019\u0131 hedefleyen di\u011fer k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131mlar, Okasidis ad\u0131yla tan\u0131n\u0131yor ve \u00e7\u00f6z\u00fcmlerimiz buna Trojan-Banker.MSIL.Evital.gen ad\u0131n\u0131 veriyor. Oyun hesaplar\u0131 a\u00e7\u0131s\u0131ndan, iki belirli dosyay\u0131 \u00e7almas\u0131 d\u0131\u015f\u0131nda tam olarak Kpot Truva at\u0131 gibi davran\u0131r. Bu dosyalar: %LOCALAPPDATA%\\Ubisoft Game Launcher\\users.dat ve %LOCALAPPDATA%\\Ubisoft Game Launcher\\settings.yml.<\/p>\n

Uplay ayr\u0131ca %LOCALAPPDATA%\\Ubisoft Game Launcher\\ klas\u00f6r\u00fcndeki t\u00fcm dosyalar\u0131 \u00e7alan Thief Stealer (HEUR:Trojan.Win32.Generic olarak tespit edildi) olarak adland\u0131r\u0131lan bir k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131m taraf\u0131ndan da hedef al\u0131n\u0131yor.<\/p>\n

Ayr\u0131ca, Uplay, Origin ve Battle.net de BetaBot k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131m\u0131n\u0131n (Trojan.Win32.Neurevt olarak tespit edildi) hedefidir. Ancak bu Truva At\u0131\u2019n\u0131n farkl\u0131 bir \u00e7al\u0131\u015fma \u015fekli var. Kullan\u0131c\u0131 belirli anahtar kelimeleri i\u00e7eren bir URL\u2019yi (\u00f6rne\u011fin, i\u00e7erisinde \u201cuplay\u201d veya \u201corigin\u201d kelimesi olan adresler) ziyaret ederse k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131m bu sayfalardaki formlardan veri toplanmas\u0131n\u0131 sa\u011flar. Yani, bu sayfalara girilen hesap kullan\u0131c\u0131 adlar\u0131 ve \u015fifreler do\u011frudan sald\u0131rganlara gider.<\/p>\n

Her \u00fc\u00e7 durumda da, kullan\u0131c\u0131n\u0131n bir \u015fey fark etmesi pek m\u00fcmk\u00fcn de\u011fildir. Truva at\u0131, bilgisayarda hi\u00e7bir \u015fekilde kendini g\u00f6stermez, istek pencereleri g\u00f6r\u00fcnt\u00fclemez, sadece kurnazca dosyalar\u0131 ve\/veya verileri \u00e7alar.<\/p>\n

Oyun hesaplar\u0131n\u0131 \u00e7almak isteyen Truva atlar\u0131na kar\u015f\u0131 nas\u0131l korunuruz?<\/h2>\n

Temelde, oyun hesaplar\u0131n\u0131n h\u0131rs\u0131zlara kar\u015f\u0131 da dahil olmak \u00fczere korudu\u011fumuz her \u015feyle ayn\u0131 \u015fekilde korunmas\u0131 gerekir. Truva at\u0131 h\u0131rs\u0131zlar\u0131n\u0131 engellemek i\u00e7in a\u015fa\u011f\u0131daki \u00f6nerileri izleyin:<\/p>\n