Steam è una delle più famose piattaforme di distribuzione multi-OS per l’entertainment. Di proprietà di Valve, ha oltre 100 milioni di utenti registrati e diverse migliaia di giochi disponibili per il download in tutto il mondo. La sua popolarità la rende un bersaglio vasto e allettante per i gruppi criminali, che possono vendere le credenziali degli utenti di Steam per 15 dollari nel mercato nero. Secondo i dati ufficiali recentemente pubblicati da Steam, 77.000 account vengono rubati e sfruttati ogni mese.
Secondo il ricercatore di Kaspersky Lab Santiago Pontiroli e il suo collega Bart P, ricercatore indipendente, una nuova famiglia di malware, conosciuti come “Steam Stealer”, è la prima sospettata del furto di numerosi account della principale piattaforma di Valve. La coppia di ricercatori crede che il malware sia stato originariamente sviluppato da cyber criminali di lingua russa; come suggerito dalle molte tracce trovate in numerosi forum underground dedicati ai malware.
Steam Stealer opera secondo un modello di business malware-as-a-service: è possibile acquistarlo in diverse versioni, con caratteristiche distintive, aggiornamenti gratuiti, manuali utente, consigli di distribuzione personalizzati e altro ancora. Quando si tratta di questo genere di campagne nocive il normale prezzo di partenza per le “soluzioni” è nell’ordine dei 500 dollari. Tuttavia, gli Steam Stealer hanno invece un costo ridicolmente basso, venendo solitamente venduti per non più di 30 dollari. Questo rende il malware molto interessante per gli aspiranti cyber criminali di tutto il mondo.
La diffusione degli Steam Stealer avviene principalmente, ma non solo, tramite siti fasulli clonati che distribuiscono il malware o con un approccio di social engineering, che usa messaggi diretti inviati alla vittima.
Una volta che il malware è all’interno del sistema dell’utente, ruba l’intero set dei file di configurazione di Steam. Fatto ciò, localizza lo specifico file Steam KeyValue che contiene le credenziali dell’utente, oltre alle informazioni necessarie per il mantenimento della sessione utente. Una volta ottenute queste informazioni, i cyber criminali possono controllare l’account utente.
In origine, rubare le credenziali dei gamer era un modo semplice usato dai giovani sviluppatori per ottenere rapidamente un profitto, vendendo gli account rubati nei forum underground. Tuttavia, i criminali hanno ora realizzato il vero valore del mercato di questi account. Gli affari si trovano ora nel furto e nella vendita degli item di gioco degli utenti che potrebbero valere migliaia di dollari. Le organizzazioni cyber criminali semplicemente non vogliono lasciare soldi sul tavolo.
Gli esperti di Kaspersky Lab hanno scoperto quasi 1.200 sample diversi di Steam Stealer, che hanno attaccato decine di migliaia di utenti in tutto il mondo, specialmente in Russia e altri Paesi dell’Est Europa, dove la piattaforma di Steam è molto popolare.
“La community dei gamer è diventata un obiettivo estremamente allettante per i cyber criminali. Una chiara evoluzione delle tecniche usate per l’infezione e la diffusione, oltre alla crescente complessità dello stesso malware, ha portato a una crescita di questo genere di attività. Con le console per il gaming che aggiungono componenti sempre più potenti e con l’Internet of Things alle nostre porte, questo scenario sembra un gioco che continuerà ad essere giocato e che diventerà sempre più complesso. Noi di Kaspersky Lab speriamo che la nostra ricerca si sviluppi in un’investigazione continuativa in grado di portare il tanto necessario equilibrio all’ecosistema del gaming. La sicurezza non dovrebbe essere qualcosa a cui gli sviluppatori pensano in seguito, ma in una fase iniziale del processo di sviluppo del gioco. Crediamo che la cooperazione all’interno del settore possa aiutare a migliorare la situazione”, ha commentato Santiago Pontiroli del Global Research & Analysis Team di Kaspersky Lab.
Kaspersky Lab rileva i Trojan del gruppo Steam Stealer come Trojan.Downloader.Msil.Steamilik, Trojan.Msil.Steamilik, Trojan-psw.Msil.Steam e altri ancora. Le vittime di questi Trojan sono diffuse in tutto il mondo, specialmente in Russia, Stati Uniti, Francia, Germania, India e Brasile.
Per rimanere al sicuro, gli utenti hanno bisogno di una soluzione di sicurezza aggiornata che permetta loro di godersi i giochi preferiti senza temere di venire sfruttati. La maggior parte dei prodotti possiede la “modalità gaming”, che permette agli utenti di immergersi nel gioco senza ricevere notifiche fino alla fine della sessione. Nel tentativo di proteggere i propri utenti, anche Steam offre diverse misure di sicurezza per difendere gli account e accrescere le difficoltà per effettuare l’hijacking dei meccanismi.
