Od začátku roku jsme před malwarem ochránili přes 2000 uživatelů. Krade hesla hráčům Fortnitu. Co o něm víme?
Naši bezpečnostní výzkumníci objevili malware, který krade hesla hráčům. Vydává se za soukromý Fortnite server, ve kterém se hráči mohou sejít a používat zdarma nejrůznější skiny. Nebezpečný malware je propagován na Discordu, kde se hráči schází. Kromě toho je malware propagován na TikToku. Uživatel zveřejňuje videa o tom, jak se mohou uživatelé dostat na Discord kanál se „soukromým serverem”, vypnout antivirus a stáhnout nebezpečný soubor.
Malware krade přihlašovací údaje a další informace uložené v prohlížeči. Pokud hráč disponuje kryptoměnami, nepohrdne ani jimi. Také umí vytvářet snímky obrazovky a krást přihlašovací údaje z Discordu, NordVPN, FileZilly…kompletní seznam jeho možností a schopností najdete na konci článku.
Je zřejmé, že se tvůrci malwaru zaměřili na mladé hráče, kteří by rádi využívali normálně placené služby, jako je upravení vlastních postav podle nejnovějších trendů a nálady, zdarma. Škodlivá kampaň cílí především na Rusko a ruské hráče. Od začátku roku jsme před ní ochránili už přes 2000 uživatelů.
Účet, který na TikToku sdílí videa nabádající ke stažení malwaru, se jmenuje „shtorm_genius” (profil jsme přiložili níže). Uživatel o malwaru sdílel prozatím dvě videa: V prvním se pustil do detailního vysvětlování, jak na zařízení vypnout antivirus, a zajistit tak hladký průběh instalace a fungování malwaru.
Účet radí uživatelům, jak stáhnout škodlivý soubor
Server, kterým koluje malware, se jmenuje „Storm Community” a momentálně je k němu připojeno téměř 300 uživatelů a jejich řady narůstají. Lidé na serveru také nabízí Fortnite účty k prodeji, které by dle jejich slov měly obsahovat skiny a předměty, které může kupující dál prodávat nebo používat.
Na tiktokovém účtu, který jsme výše zmínili, je také uvedený další Discord server. Pravděpodobně tedy existuje více serverů, na kterých se nebezpečný malware šíří.
Uživatel „Genius” v discordovém serveru, který jsme analyzovali, všem hráčům připomíná, aby si stáhli soubor se „soukromým serverem”.
Na serveru je také kanál s názvem „chat”, ve kterém se jeden z uživatelů ptá, co má dělat, když mu ani po stažení server nefunguje. Jak víme, ve skutečnosti stažený soubor funguje, ale jde o malware. Po otevření soubor na kratičkou chvíli otevře vyskakovací okno, uživatel si jej obvykle ani nevšimne. Proto se mu může zdát, že soubor vůbec nereaguje. Z konverzace níže je jasné, že uživatel se nevědomky malwarem infikoval.
Jiný uživatel oběti malwaru odpovídá, že soubor je ve skutečnosti škodlivý trojan. Uživatel Genius se ptá, zda má pro své tvrzení důkaz.
Pár sekund poté je zpráva smazána.
Malware se zaměřuje především na krádež přihlašovacích údajů, kryptoměn a údajů uložených v prohlížeči (hesel, cookies, platebních údajů). Kromě toho také dokáže ukládat snímky obrazovky a krást soubory ze schránky.
Umí vyhledat kryptoměnové peněženky – najít jejich společné umístění nebo vyhledat nainstalované rozšíření prohlížeče. Hesla a přihlašovací jména krade z aplikací, které jsou gamery často využívány - ze Steamu, Discordu, FTP nebo služeb VPN.
Nasbírané informace si autoři posílají na C&C servery (95.142.46[.]35:6666) jako nezašifrované .ZIP soubory. Malware také odesílá soubory protokolu zakódované pomocí Base64, které jejich autora informují o tom, co bylo ukradeno, včetně detailů o systémech obětí.
|
SHA256 |
Název souboru |
|
d6ada0c094ce3db0caf632bfb650de254304ccb64dc9f7973056e72076b6d724 |
ShtromV6.rar |
|
b628e5040eb1fb724a84f54cb68abf4aeebbf0ee0e3b8af0a446957a341dc4a9 |
ShtormV8.rar |
|
Mutex |
|
100001111100000101101010001010010110111100000111100101011111 |
|
C&C server |
|
95.142.46[.]35:6666 |
Na nejnovější online hrozby upozorňujeme také na naší facebookové stránce, sledujte nás!
1988 - 2024 Copyright © Avast Software s.r.o. | Sitemap Ochrana osobních údajů
