В мире сетевой игры World of Warcraft (WoW) набирает обороты очередная волна фишинга и краж личных данных.
Как показывает практика, привычная любому пользователю процедура аутентификации на игровом сервере может быть успешно использована злоумышленниками для распространения вредоносного ПО. А невероятная популярность WoW делает его лакомым куском для киберпреступников и требует особо пристального внимания со стороны специалистов по безопасности.
Одним из последних способов мошенничества, с которым столкнулись любители игры, стала подмена страницы входа в игру. Злоумышленники использовали привычный всем игрокам дизайн формы ввода логина и пароля, чтобы получить доступ к регистрационным данным. Адрес страницы отличался от легитимного адреса игрового сервера, и пользователи вместо того, чтобы войти в игру, своими руками отсылали злоумышленникам логин и пароль.
Однако это только первая часть схемы. После «входа» пользователь попадал на поддельный сайт WoW, где ему предлагалось ввести еще больше личных данных: например, адрес электронной почты и ответ на секретный вопрос, указанный при ее регистрации. Тонким приемом для заманивания пользователей стало предложение получить специальное приложение для создания «Бесплатного ездового животного». По сценарию игры ездовые животные служат для ускорения передвижения игроков, кроме того они являются символом высокого социального статуса, а также не могут быть атакованы монстрами. В целом, правда, это должно было как минимум удивить опытных игроков. Хотя бы списком данных, запрашиваемых для получения приложения, включавшим адрес электронной почты и секретный вопрос к этому адресу.
Ну, и чтобы убедиться, что жертва отдала все, что смогла, злоумышленники в качестве того самого «приложения» предоставляли пользователям скачать троян и поздравляли с успешной его установкой.
Попадая в незащищенную систему, троян стремительно размножается, чтобы снова запуститься в случае перезагрузки. Затем он создает специальный dll-файл, который внедряется в область памяти процесса explorer.exe, откуда запускается и получает контроль над перемещениями пользователя по сети, в том числе доступу к вводимой информации. Кроме того, для гарантии эффективности вирус воспроизводится каждые две минуты, а для скрытия следов проникновения, оригинальное приложение-троян уничтожается. В результате злоумышленники получают все учетные данные, которые пользователь вводит для доступа к онлайн-играм.
Антивирусные продукты BitDefender определяют этот троян как Trojan.PWS.OnlineGames.KDEU и предотвращают его проникновение на компьютер.