Selon les statistiques, beaucoup d'utilisateurs sous-estiment les menaces pesant sur les jeux en ligne.
- Seuls 15% des utilisateurs savent qu'ils peuvent devenir une cible pour les cybercriminels.
- Un utilisateur sur trois pense que des pertes financières suite à une attaque sont peu probables.
- La majorité des utilisateurs pensent que leurs données n'intéressent personne !
Certains joueurs enfin négligent traditionnellement la protection antivirus pour augmenter les performances des PC.
Qui est la cible préférée des cybercriminels dans l’univers des jeux en ligne ?
On peut diviser les joueurs en trois groupes :
- Super amateurs et professionnels. Ils ont beaucoup d'éléments de jeu en leur possession.
- Les joueurs (ils jouent pour se détendre, se distraire). Les malfaiteurs peuvent utiliser leurs comptes et machines pour organiser des fraudes et attaques avancées.
- Les enfants et adolescents qui peuvent être soit des fans, soit des simples joueurs. Dans ce cas, les victimes des attaques sont les parents - ou plutôt, leurs portefeuilles. Les malfaiteurs offrent à des jeunes des éléments de jeu " gratuitement ".
Attention !
Les enfants ont souvent tendance à ignorer les recommandations des adultes, notamment sur la sécurité informatique, de plus ils sont souvent tentés d’essayer ce qui est interdit. C'est pourquoi l'utilisation du Contrôle Parental de Dr.Web peut prévenir l'infection et le vol de données confidentielles, y compris les éléments de jeu !
Mais l'expérience des spécialistes de Doctor Web démontre que les menaces ciblant les joueurs ne sont pas… un jeu !
Les virus sont eux-mêmes parfois...des jeux !
Un exemple : l'un des premiers logiciels malveillants ciblant les jeux, un Trojan, était le jeu Pervading Animal: à l'aide de questions suggestives, le programme essayait de déterminer le nom de l'animal imaginé par l'utilisateur. Ce jeu comportait une erreur : si l'utilisateur ajoutait de nouvelles questions, le jeu modifié était écrit par-dessus sa version précédente et copié dans d'autres répertoires du disque dur ( par autoréplication), et chargeait le disque dur jusqu’à sa limite. Pervading Animal était distribué à l’insu des joueurs mais avec leur aide et exécutait des actions de manière masquée, comme un Trojan classique.
Que volent les Trojans chez les joueurs ?
Les cybercriminels s'intéressent à ce qu'ils peuvent voler. Ils cherchent à voler les comptes et les éléments de jeu des joueurs, donc ce qu'ils peuvent vendre.
Qu'est-ce qui intéresse les joueurs ?
- La possibilité d'" améliorer " rapidement un personnage ou l'achat de personnages déjà " améliorés ".
- Un personnage avec le nombre maximal de « capacités » et des points d'expérience, mais également des objets comme des armures, des PNJ (personnages non joueurs) amicaux (parfois très rares), un ensemble de compétences et de professions disponibles pour ce personnage. Parfois, le prix d'un tel compte peut dépasser 500 $USD.
- La vente, l'achat et l'échange d'éléments de jeux s'effectuent avec de l’argent réel.
Les cibles des malfaiteurs sont les comptes et les éléments de jeu (ou tout ce qui touche au monde des jeux) qu'ils peuvent voler afin de les revendre.
Compte tenu du coût des comptes " améliorés " et des éléments de jeu précieux, nous pouvons dire que les joueurs et leurs biens sont de bonnes cibles pour les attaquants.
Comment les malwares permettent-ils aux attaquants de voler les comptes et les éléments de jeu ?
Voici un exemple
Trojan.SteamLogger.1 est conçu pour voler des éléments dans les jeux suivants : Dota 2, Counter-Strike: Global Offensive et Team Fortress 2. Les chercheurs de Doctor Web ont détecté ce Trojan au mois d'octobre 2014.
Une fois le module principal lancé et initialisé, le Trojan recherche dans la mémoire de l'ordinateur infecté le processus portant le nom Steam et vérifie si l'utilisateur a accédé à son compte. Si non, le logiciel malveillant attend l'autorisation du joueur, puis récupère l'info sur ce compte Steam (SteamGuard, steam-id, security token) et envoie ces données aux malfaiteurs. En réponse, le Trojan.SteamLogger.1 reçoit la liste des comptes utilisateur auxquels il peut transférer les éléments de jeux de la victime. Le logiciel malveillant tente de voler les éléments de jeux les plus précieux, les clés pour les coffres et les coffres. Trojan.SteamLogger.1 surveille également l'activité du joueur et s'il essaie de vendre un élément, le Trojan tente de supprimer cet élément de la vente.
Toutes les données recueillies sont transmises à un serveur pirate, puis le Trojan vérifie si le démarrage automatique autorisé de Steam est activé, et s’il est désactivé, il lance un keylogger, qui transmet les données tapées aux malfaiteurs toutes les 15 secondes.
Trojan.SteamLogger.1 est diffusé via des messages de chat sur Steam ou sur des forums spécialisés sous couvert d'une offre de vente ou d'échange d’éléments de jeux.
Comment les attaquants tirent-ils des bénéfices ?
- La vente d'un compte : les malfaiteurs essaient de vendre le compte volé sur une boutique en ligne.
- Le détournement des éléments de jeu et leur vente : les escrocs peuvent transférer tous les artefacts liés à compte au compte appartenant aux malfaiteurs (afin de les revendre).
- Les Prêts frauduleux : les nouveaux propriétaires du compte volé peuvent profiter de la confiance des autres membres de la guilde afin d'emprunter de l'argent virtuel ou de détrousser la banque de la guilde. Le résultat : une réputation ruinée, l'interdiction d’accéder au serveur de jeu ainsi qu’une bonne crise de nerfs.
- La diffusion d’URL de phishing : Les attaquants peuvent envoyer des messages contenant des liens vers des sites de phishing, par exemple en publiant une fausse offre de la part du développeur du jeu qui nécessite l'enregistrement des données du compte de l’utilisateur et son mot de passe, ou bien les malfaiteurs peuvent promouvoir des logiciels pour améliorer les caractéristiques du personnage sous couvert desquels des virus et des Trojans sont distribués.
- Extorsion : Demande d’une rançon pour restaurer le compte.
Comment les malfaiteurs infectent-ils les ordinateurs des joueurs ?
Par exemple en distribuant des Trojans.
Les attaquants peuvent envoyer de la part du propriétaire du compte des messages contenant des liens vers des sites de phishing. Par exemple en publiant une fausse offre de la part du développeur du jeu qui nécessite l'enregistrement des données du compte de l’utilisateur et son mot de passe, ou les malfaiteurs peuvent promouvoir des logiciels pour améliorer les caractéristiques du personnage sous couvert desquels des virus et des Trojans sont distribués. Les enfants et les adolescents peuvent être facilement hameçonnés par ces offres.
Si l'une des cibles des malfaiteurs sont les portefeuilles Steam pour acheter des jeux, ils utilisent le phishing pour y accéder. Par exemple, les utilisateurs du service Twitch sont invités à participer à une loterie. Les victimes peuvent « gagner » des armes numériques et des objets de collection pour CounterStrike: Global Offensive. Une fois que le logiciel malveillant accède au compte Steam, il installe sur l'ordinateur de la victime un Trojan qui fait des captures d'écran, ajoute de nouveaux amis, achète des éléments pour les devises Steam, envoie et accepte des offres de vente. Par la suite, les éléments volés sont proposés sur Steam Community Market avec une remise allant jusqu'à 35%.
Les malfaiteurs profitent du fait que les utilisateurs de Twitch sont habitués à bénéficier de remises sur ces market. Twitch est devenu également populaire parmi les joueurs en leur permettant de gagner sur les diffusions en ligne (streams). Certains streamers utilisent des botnets pour augmenter le nombre d'abonnés. Et cela est très répandu dans le domaine du jeu vidéo.
Exemple de logiciels malveillants conçus pour attaquer la plate-forme Steam
A la fin du mois d'août 2014, certains forums ont commencé à publier des messages d’utilisateurs utilisant la plateforme Steam se plaignant de la disparition de certains objets précieux et de certaines ressources de jeux. Ces pertes étaient le fait du Trojan Trojan.SteamBurglar.1. Le malware était diffusé via des messages de chat sur Steam ou sur des forums spécialisés. Les joueurs ont été invités à regarder des captures d'écran d'armes virtuelles ou d'autres ressources présentes officiellement pour la vente ou l'échange. Ces images étaient présentées à l’utilisateur par le Trojan.SteamBurglar.1. Dans le même temps, il trouvait en mémoire le processus steam.exe et en extrayait des informations sur les objets de jeu, afin d'identifier le plus précieux d'entre eux. Puis il les volait pour les revendre ensuite. Les éléments volés ont été envoyés à l'un des comptes appartenant aux malfaiteurs.
Attention !
La possibilité pour les joueurs de créer des serveurs permet aux malfaiteurs de déployer de faux serveurs pour distribuer des malwares !
Les chercheurs de Doctor web ont découvert récemment que les malfaiteurs créaient des copies malveillantes des pages présentant les jeux dans le catalogue Stream. Les « pages-clones » copient entièrement le design des pages de jeu authentiques. En sélectionnant un faux jeu, l'utilisateur est redirigé vers la page de téléchargement des logiciels malveillants.
La suite de l'attaque dépend des fonctionnalités du Trojan. Ce logiciel malveillant peut être un Trojan Encoder !
Danger : Encoders !
En plus des malfaiteurs qui développent des logiciels malveillants ciblant spécifiquement les jeux en ligne, il existe d’autres risques. Le vrai problème de sécurité réside par exemple dans la propagation de Trojans Encoders, qui cryptent les données de l'utilisateur et demandent une rançon pour le décryptage. Ces Trojan peuvent pénétrer le système via le spam, via un lien dans un message, via un site infecté ou via une clé USB. L'infection s’effectue à l'insu de l'utilisateur, qui la remarque uniquement après le chiffrement des fichiers et l’affichage de la demande de rançon sur l'écran.
Plus d'infos sur les Trojans Encoders ici.
Selon les données des chercheurs de Doctor Web, les Encoders possèdent des fonctionnalités permettant de crypter les fichiers portant les extensions de jeux populaires tels que Call of Duty, Minecraft, StarCraft 2, Skyrim, World of Warcraft, League of Legends, World of Tanks.
Rappelons que Doctor Web fournit des services de décryptage gratuit uniquement aux titulaires de licences commerciales Dr.Web. En cas de problème, vous pouvez demander l'aide de notre support technique.
Les jeux populaires " au service " des malfaiteurs.
Les attaquants utilisent également les fonctionnalités des jeux afin de distribuer des logiciels malveillants.
Typiquement, lors d’une connexion au serveur de Counter-Strike, le logiciel-client télécharge les composants manquants requis pour le jeu depuis un hôte distant.
La recherche effectuée par les spécialistes de Doctor Web en 2001 a révélé les faits suivants. Le groupe de malfaiteurs a créé un serveur de jeu Counter-Strike qui distribuait le Trojan Win32.HLLW.HLProxy (ce Trojan a également été distribué parmi les amateurs de Counter-Strike comme un logiciel utile, c'est pourquoi beaucoup de joueurs ont téléchargé et installé ce Trojan).
La technique de distribution du Trojan est très intéressante : chaque fois que le joueur se connecte au serveur de jeu, une fenêtre spéciale MOTD qui peut afficher de la publicité ou les règles du serveur s’affiche. Le contenu de cette fenêtre représente un fichier HTML. Le fichier MOTD, créé par les malfaiteurs, inclut le composant caché IFRAME qui assure la redirection vers l'un des serveurs appartenant aux pirates. C'est sur ces serveurs que le Trojan Win32.HLLW.HLProxy a été téléchargé et installé sur les ordinateurs des victimes.
Ce Trojan lance sur l'ordinateur du joueur un serveur proxy, qui imite sur une machine physique plusieurs serveurs de jeu de Counter-Strike et envoie les données appropriées aux serveurs VALVE. Lorsque le logiciel client s'adresse au serveur de jeu imité, il a été redirigé vers le vrai serveur de jeu appartenant aux malfaiteurs et télécharge le Trojan Win32.HLLW.HLProxy.
Ainsi, un nombre très important d’ordinateurs se sont trouvés infectés.
De plus, ce Trojan peut lancer des attaques DDoS sur les serveurs de jeu et ceux de VALVE en les rendant indisponibles à différents moments. Les spécialistes supposent que de cette façon, les pirates tentent de gagner de l'argent sur les propriétaires de serveurs lors de la connexion de nouveaux joueurs, et lancent des attaques DDoS sur les serveurs de jeu qu’ils considèrent " en disgrâce ".
Propagation de virus sous couvert de jeux pour les appareils sous Android.
Les cybercriminels utilisent également la confiance que les joueurs mettent dans les jeux. Ainsi, Android.Elite.1.origin, appartenant à la catégorie des logiciels vandales, est distribué sous couvert de logiciels populaires, y compris des jeux
Lors de son lancement, Android.Elite.1.origin essaie d'obtenir les droits administrateur de l'appareil mobile, qui sont prétendument nécessaires pour effectuer une installation correcte de l'application. En cas de succès, le Trojan commence immédiatement le formatage de la carte SD en supprimant toutes les données stockées. Puis le logiciel attend le lancement du client de la messagerie instantanée.
En plus du formatage de la carte SD et du blocage partiel des communications, Android.Elite.1.origin envoie toutes les 5 secondes à tous les contacts de l’appareil un SMS, et le compte mobile de l'utilisateur dont l'appareil est infecté est vidé en quelques minutes et même quelques secondes !
Les virus comme arme de combat sur le marché des jeux
La concurrence entre les propriétaires de serveurs de jeu est très élevée, on peut le voir notamment via les rating publiés par Gametracker. Au mois de février 2012, les analystes ont découvert plusieurs logiciels malveillants qui visent à neutraliser les serveurs de jeu tournant sous GoldSource (y compris Counter-Strike, Half-Life). L'un d'entre eux, ajouté à la base virale Dr.Web sous le nom Flooder.HLDS, représente un logiciel qui imite un grand nombre de joueurs connectés en envoyant des requêtes multiples de connexion, se qui peut causer le plantage du serveur.
Flooder.HLDS.2, lui, est capable d'envoyer au serveur un paquet de données qui provoque la défaillance du serveur.
Ces deux applications ont été largement distribuées sur les forums de jeux et le nombre d'attaques organisées à l'aide de ces logiciels a augmenté considérablement au cours du mois écoulé.
A noter : ces logiciels vandales peuvent endommager les ordinateurs des malfaiteurs qui essaient de pirater les serveurs de jeu, car certains échantillons de ces logiciels Flooder.HLDS.2, téléchargés depuis les serveurs par les spécialistes de Doctor Web, peuvent infecter l'ordinateur via les Trojans BackDoor.DarkNess.47 et Trojan.Wmchange.14. Le premier assure des fonctionnalités de backdoor et de bot DDoS, le second Trojan remplace dans la mémoire du PC infecté les numéros de portefeuilles pour les transactions avec WebMoney afin de voler de l'argent. Ainsi, les malfaiteurs peuvent devenir les victimes des auteurs d’autres virus et peuvent infecter leurs ordinateurs.
Comment vous protéger, si vous jouez sur votre ordinateur ?
Doctor Web vous conseille :
Avant d'acheter un compte sur un serveur de jeu, vous devez lire attentivement le Contrat de Licence et suivre ses termes.
- Les règles d'utilisation de la majorité des serveurs de jeu que les utilisateurs doivent accepter incluent la possibilité de bloquer un compte sans explication et le fait que l’administration du jeu décline toute responsabilité.
- Lors de l'achat d’un compte, respectez les conditions de licences qui interdisent l'achat du compte.
Doctor Web vous conseille :
Lorsque vous achetez un compte, il faut demander au vendeur non seulement le mot de passe du compte et la réponse à la question secrète, mais également l'accès complet à la boîte aux lettres à laquelle le compte est lié.
Sur la plupart des serveurs de jeu (y compris ceux supportés par Blizzard), le compte utilisateur est lié à son adresse e-mail, et parfois à un numéro de téléphone. En cas de vol du compte, l'administration va contacter le propriétaire du compte via cette adresse e-mail.
Doctor Web vous conseille :
Stockez une copie de votre passeport sur un support séparé, pas sur l'ordinateur sur lequel vous jouez. Cette recommandation vaut pour tous les utilisateurs, et pas seulement pour les joueurs. En cas de vol du compte, l'administration peut demander le scan du passeport du propriétaire actuel du compte, ainsi que votre photo avec le passeport dans les mains.
Le support technique peut même aller jusqu’à demander une photo du propriétaire avec son passeport et le journal du jour afin de confirmer la date de la photo. Si le propriétaire du compte est en mesure de fournir ces preuves, son compte sera restauré.
Si vous ne pouvez pas le faire, le compte sera bloqué. Dans tous les cas, les malfaiteurs ont gagné de l'argent et la victime des problèmes.
Pour ne pas devenir victime, Doctor Web conseille :
- Ne cliquez pas sur les liens si vous n'êtes pas complètement sûr que vous arriverez où vous voulez.
- Téléchargez des jeux depuis des sources de confiance. Si vous achetez des éléments de jeu, utilisez les " marchés " vérifiés.
- Ne publiez pas vos données personnelles sur Internet.
- Ne répondez pas aux " questions secrètes " à des personnes qui ne semblent pas habilitées à vous les poser.
- Assurez-vous que les logiciels et l'OS de votre ordinateur sont actualisés, ainsi que l'antivirus.
- Veillez à utiliser la dernière version de l'antivirus ! Actualisez-le avant chaque connexion au serveur.