Od začátku roku jsme před malwarem ochránili přes 2000 uživatelů. Krade hesla hráčům Fortnitu. Co o něm víme?
Naši bezpečnostní výzkumníci objevili malware, který krade hesla hráčům. Vydává se za soukromý Fortnite server, ve kterém se hráči mohou sejít a používat zdarma nejrůznější skiny. Nebezpečný malware je propagován na Discordu, kde se hráči schází. Kromě toho je malware propagován na TikToku. Uživatel zveřejňuje videa o tom, jak se mohou uživatelé dostat na Discord kanál se „soukromým serverem”, vypnout antivirus a stáhnout nebezpečný soubor.
Jak malware funguje?
Malware krade přihlašovací údaje a další informace uložené v prohlížeči. Pokud hráč disponuje kryptoměnami, nepohrdne ani jimi. Také umí vytvářet snímky obrazovky a krást přihlašovací údaje z Discordu, NordVPN, FileZilly…kompletní seznam jeho možností a schopností najdete na konci článku.
Je zřejmé, že se tvůrci malwaru zaměřili na mladé hráče, kteří by rádi využívali normálně placené služby, jako je upravení vlastních postav podle nejnovějších trendů a nálady, zdarma. Škodlivá kampaň cílí především na Rusko a ruské hráče. Od začátku roku jsme před ní ochránili už přes 2000 uživatelů.
Účet, který na TikToku sdílí videa nabádající ke stažení malwaru, se jmenuje „shtorm_genius” (profil jsme přiložili níže). Uživatel o malwaru sdílel prozatím dvě videa: V prvním se pustil do detailního vysvětlování, jak na zařízení vypnout antivirus, a zajistit tak hladký průběh instalace a fungování malwaru.
Účet radí uživatelům, jak stáhnout škodlivý soubor
Jedno z videí, které uživatelům popisuje, jak se připojit k serveru na Discordu, na kterém hráči najdou škodlivý software
Server, kterým koluje malware, se jmenuje „Storm Community” a momentálně je k němu připojeno téměř 300 uživatelů a jejich řady narůstají. Lidé na serveru také nabízí Fortnite účty k prodeji, které by dle jejich slov měly obsahovat skiny a předměty, které může kupující dál prodávat nebo používat.
Na tiktokovém účtu, který jsme výše zmínili, je také uvedený další Discord server. Pravděpodobně tedy existuje více serverů, na kterých se nebezpečný malware šíří.
Uživatel „Genius” v discordovém serveru, který jsme analyzovali, všem hráčům připomíná, aby si stáhli soubor se „soukromým serverem”.
Na serveru je také kanál s názvem „chat”, ve kterém se jeden z uživatelů ptá, co má dělat, když mu ani po stažení server nefunguje. Jak víme, ve skutečnosti stažený soubor funguje, ale jde o malware. Po otevření soubor na kratičkou chvíli otevře vyskakovací okno, uživatel si jej obvykle ani nevšimne. Proto se mu může zdát, že soubor vůbec nereaguje. Z konverzace níže je jasné, že uživatel se nevědomky malwarem infikoval.
Jiný uživatel oběti malwaru odpovídá, že soubor je ve skutečnosti škodlivý trojan. Uživatel Genius se ptá, zda má pro své tvrzení důkaz.
Pár sekund poté je zpráva smazána.
Jak malware funguje?
Malware se zaměřuje především na krádež přihlašovacích údajů, kryptoměn a údajů uložených v prohlížeči (hesel, cookies, platebních údajů). Kromě toho také dokáže ukládat snímky obrazovky a krást soubory ze schránky.
Umí vyhledat kryptoměnové peněženky – najít jejich společné umístění nebo vyhledat nainstalované rozšíření prohlížeče. Hesla a přihlašovací jména krade z aplikací, které jsou gamery často využívány - ze Steamu, Discordu, FTP nebo služeb VPN.
Nasbírané informace si autoři posílají na C&C servery (95.142.46[.]35:6666) jako nezašifrované .ZIP soubory. Malware také odesílá soubory protokolu zakódované pomocí Base64, které jejich autora informují o tom, co bylo ukradeno, včetně detailů o systémech obětí.
Seznam možných ukradených informací a měn z jediného zařízení:
- Uložená hesla
- Cookies
- Informace, které prohlížeč automaticky vyplňuje a pamatuje si
- Platební údaje
Informace o operačním systému:
- Verze OS
- Build OS
- Datum instalace systému
- ID systémového produktu
Osobní údaje z aplikací:
- FileZilla
- TotalCommander
- Steam
- Telegram
- NordVPN
- OpenVPN
- Discord
Kryptoměny:
- Armory
- Atomic
- Bitcoin
- Bytecoin
- Dash
- Electrum
- Ethereum
- Litecoin
- Zcash
- Exodus
- MetaMask
- Ronin
- Binance
- Tron
Další informace:
- Obsah schránky
- Snímky obrazovky oběti
Doporučení pro hráče: Jak se malwaru vyhnout?
- Nikdy nevěřte žádnému programu nebo souboru, který se snaží vypnout váš antivirový software. Kdokoli po vás tento krok vyžaduje se chystá na vašem zařízení dělat něco nebezpečného.
- Jestli nabídka zní až moc dobře – v tomto případě soukromý server s bezplatnými skiny a předměty – pořádně si zkontrolujte, jestli nejde o podvod. Ze zkušenosti víme, že obvykle jde.
- Programy a soubory stahujte pouze z důvěryhodných zdrojů. Také navštěvujte oficiální stránky a raději neklikejte na odkazy, které najdete v hlubokých vodách internetu.
- Así vám to nemusíme opakovat, ale pro jistotu…Nevěřte všemu, co na internetu najdete. V tomto případě je to tiktokový účet s tisíci sledujícími, kteří však nijak nevalidují informace na něm zveřejněné.
IoC
SHA256
|
Název souboru
|
d6ada0c094ce3db0caf632bfb650de254304ccb64dc9f7973056e72076b6d724
|
ShtromV6.rar
|
b628e5040eb1fb724a84f54cb68abf4aeebbf0ee0e3b8af0a446957a341dc4a9
|
ShtormV8.rar
|
Mutex
|
100001111100000101101010001010010110111100000111100101011111
|
C&C server
|
95.142.46[.]35:6666
|
Na nejnovější online hrozby upozorňujeme také na naší facebookové stránce, sledujte nás!