что такое стиллер аккаунт
Как трояны воруют аккаунты в игровых сервисах
Существуют трояны, которые воруют логины и пароли. В том числе от игровых сервисов вроде Origin, Battle.net или Uplay.
Мы часто рассказываем, какое количество угроз в онлайне существует для геймеров: и в пиратках трояны прячутся, и в модах, и в читах. И это не говоря уже про фишинг и многочисленные способы обмана при покупке или обмене внутриигровых предметов. Про беды с покупкой аккаунтов мы тоже недавно рассказывали. К счастью, все эти проблемы не так страшны, если вы о них знаете.
Но есть еще одна опасность, о которой нужно, во-первых, знать, а во-вторых, уметь от нее защищаться. И имя ей — стилеры (Password Stealer, наши защитные решения их детектируют обычно как Trojan-PSW.что-нибудь). Это такие специальные трояны, которые заточены под воровство аккаунтов — или в виде логинов с паролями, или в виде токенов сессии.
Мы уже писали про Steam-стилеры — трояны, которые воруют аккаунты в самом популярном игровом сервисе. Но подобных игровых сервисов много — Battle.net, Origin, Uplay, Epic Games Store и так далее. У них всех многомиллионные аудитории, вокруг всех крутятся немаленькие деньги, и злоумышленники, естественно, ими интересуются. Поэтому стилеры существуют и для этих магазинов.
Что такое Password Stealer и какие они бывают
Password Stealer — это зловред, который ворует данные учетных записей. В сущности, стилер очень похож на банковский троян, только вместо того чтобы перехватывать или подменять введенные данные, он ворует уже сохраненную на компьютере информацию. Например, логины и пароли, записанные в браузере, файлы cookies и просто какие-то файлы с жесткого диска зараженного устройства. Более того, бывает так, что воровать игровые аккаунты — просто одна из функций стилера, а пароль от онлайн-банка его интересует ничуть не меньше.
Работают стилеры по-разному. Например, есть злобный троян-стилер Kpot (также известный как Trojan-PSW.Win32.Kpot). Он распространяется в основном через почтовый спам с вложениями, которые, используя уязвимости (например, в Microsoft Office), загружают на компьютер сам зловред.
Дальше стилер передает на командный сервер информацию об установленных на компьютере программах и в ответ получает список дальнейших действий. Среди них, например, возможность воровать cookie-файлы, аккаунты Telegram и Skype, а также много чего еще.
Зачем это надо мошенникам? Очень просто: все ценные внутриигровые предметы они быстренько перепродадут, выручив с этого неплохие деньги. Такие предметы — и возможность их перепродать — есть, например, в World of Warcraft и в Diablo III.
Или, скажем, есть зловред, который целится в другой сервис — Uplay, фирменный лончер для игр Ubisoft. Этого зловреда зовут Okasidis, наши решения ловят его под общим вердиктом Trojan-Banker.MSIL.Evital.gen. В отношении воровства игровых аккаунтов он ведет себя точно так же, как троян Kpot, разве что ворует два конкретных файла — %LOCALAPPDATA%\Ubisoft Game Launcher\users.dat и %LOCALAPPDATA%\Ubisoft Game Launcher\settings.yml.
Тот же Uplay интересует и зловреда по имени Thief Stealer (детектируется под общим вердиктом — как HEUR:Trojan.Win32.Generic). Разве что этот, не стесняясь, тащит вообще все файлы из папки %LOCALAPPDATA%\Ubisoft Game Launcher\.
Также Uplay, Origin и Battle.net интересуют зловреда BetaBot (детектируется как Trojan.Win32.Neurevt). Но этот троян работает иначе: если пользователь посещает URL, содержащий определенные ключевые слова (например, любые адреса, в которых есть слова uplay или origin), зловред включает сбор данных из форм на этих страницах. Таким образом, введенные на таком сайте логин и пароль от аккаунта попадут злоумышленникам.
Во всех трех случаях пользователь, скорее всего, ничего не заметит — троян никак не выдает себя на компьютере, не выводит окон с требованиями, а просто тихонько ворует файлы или данные.
Как защититься от троянов, ворующих аккаунты в игровых сервисах
В принципе защищать аккаунты в игровых сервисах нужно так же, как и все остальное. В том числе и от стилеров. Следуйте советам ниже — и никакие троянские воры будут вам не страшны:
Что такое стиллер аккаунт
Во время проверки файла, вредоносного кода или чего либо подозрительного не было обнаружено. Это означает, вы можете не беспокоится о своём аккаунте, наш чекер использует все возможные методы выявления вредоносного кода в скриптах.
Ваш файл имеет закрытый код, и чтобы его прочесть нужно воспользоваться специальными программами. Если код закрыт это ещё не значит что файл является вредоносным, возможно автор этого мода просто не захотел чтобы кто либо мог изменить его код.
Особенности программы:
— Довольно большая база стиллеров, которая пополняется примерно с 2014 года. Нами была собрана не малая часть вредоносных модов с нескольких крупных и не очень сайтов. Отдельное спасибо за предоставленные образцы сайту Gtavicecity.ru.
— Возможность сканирования папок и файлов путем перетаскивания в окно программы.
— Вывод краткой информации о вредоносной программе (тип, ник разработчика и в старых версиях баз ники распространителей)
— Сканирование asi, dll, cleo, sf, cs и других потенциально опасных файлов.
— Обнаружение вредоносного кода в файлах с измененным расширением, например не так давно была мода переименовывать стиллеры в txd файлы и загружать их в игру по средствам лоадера.
— Распаковка криптованных CLEO скриптов и последующее сканирование (следует отметить, что декриптит только известные крипторы и те, что попадались нам, но этот факт легко исправить, достаточно написать нам на почту и отправить файл). Исходник последнего при сканировании распакованного скрипта вы сможете найти в файле temp\decrypt.cs.
— Эмуляция SCM кода на лету и декрипт скрипта с последующей проверкой на вредоносный код. (При обнаружении вредоносного кода см. дамп в temp\decrypt.cs)
— Дружественный и понятный интерфейс программы.
— Довольно простая концепция программы, а значит легко и часто обновляемая.
— Высокая скорость сканирования при проверке большого количества файлов.
— Встроенный просмотр найденного файла в текстовом и hex режимах
Сканер предназначен только для проверки игровых модификаций в распакованном из архива виде, в любом другом случае он бесполезен.
Также он НЕ предназначен для установщиков и автоинсталляторов.
Некоторые условные обозначения программы:
Cтилеры
Любые пользовательские данные – от паролей к разным сервисам до электронных документов – весьма востребованы у злоумышленников. Причина известна — практически любую информацию можно монетизировать. Например, можно использовать украденные данные для вывода денег на счета злоумышленников, заказа товаров или услуг, также всегда есть возможность продать украденное другим киберпреступникам.
Большинство браузеров предлагает сохранить вашу информацию: логины и пароли от аккаунтов, данные банковской карты, которой вы расплачиваетесь в интернет-магазинах, имя, фамилию и номер паспорта при покупке билетов и так далее. С одной стороны это удобно, вы можете сэкономить кучу времени на заполнении одинаковых форм и не беспокоиться о забытых паролях. Однако есть один нюанс: все эти данные могут достаться злоумышленникам, если на вашем компьютере заведется стилер (от английского to steal, воровать – определенный класс троянов, функционал которых полностью состоит из кражи сохраненных в системе паролей и отправки их злоумышленнику, зловред, крадущий информацию, в том числе из браузера).
Популярность таких программ среди интернет-мошенников в последнее время растет. Востребованность краденых данных подтверждается и статистикой «Лаборатории Касперского»: за первое полугодие 2019 года вредоносным ПО, предназначенным для сбора разнообразных данных, было атаковано более чем 940 тысяч пользователей. Для сравнения, за тот же период 2018 года было атаковано чуть менее 600 тысяч пользователей.
Речь идет о троянцах-стилерах, или Password Stealing Ware (PSW). За последние полгода чаще всего детектировали подобное вредоносное ПО у пользователей из России, Индии, Бразилии, Германии и США.
Географическое распределение пользователей, атакованных троянцами-стилерами за первое полугодие 2019 года:
Строго говоря, стилеров интересуют не только те данные, которые сохранены в браузерах, также они крадут данные криптокошельков, игровых площадок и файлы с рабочего стола (надеемся, что вы не храните в них ценную информацию вроде списка паролей).
Зачем стилеру собирать какие-то текстовые файлы или, тем более, все файлы с рабочего стола? Дело в том, что в папке «Рабочий стол» обычно хранятся востребованные и актуальные для пользователя файлы. Среди них вполне может быть текстовый файл, содержащий пароли, которые должны быть всегда под рукой. Или, например, рабочие документы, содержащие конфиденциальные данные.
Как браузеры хранят наши данные
Браузеры превратились в важный интернет-шлюз для работы и шопинга, а также для личной жизни, и зачастую оттуда можно позаимствовать куда больше конфиденциальных сведений, чем из других программ.
Разработчики браузеров стремятся защитить информацию, которую им доверили. Для этого они шифруют информацию, а расшифровать ее можно только на том устройстве и из того аккаунта, в котором вы эту информацию сохранили. Так что если просто украсть файл с данными автозаполнения, то воспользоваться им не получится – в нем все надежно зашифровано.
По умолчанию разработчики браузеров предполагают, что свои устройство и аккаунт вы хорошо защитили, поэтому программа, запущенная с вашего аккаунта на вашем компьютере, может без проблем достать и расшифровать сохраненные данные. Ведь она действует как бы от вашего имени. Но к сожалению, это относится и к зловреду, проникшему на устройство и запущенному под вашей учетной записью.
Как стилеры воруют наши данные
После покупки (или создания) зловреда злоумышленник приступает к его распространению. Чаще всего это происходит путем рассылки электронных писем с вредоносными вложениями (например, это могут быть офисные документы с вредоносными макросами, загружающими непосредственно троянца). Кроме того, стилеры могут распространяться с помощью ботнетов, когда те получают команду на загрузку и исполнение троянца-стилера.
Все стилеры, когда дело доходит до кражи данных из браузеров (паролей, информации о банковских картах, данных автозаполнения), действуют практически по одинаковой схеме.
Google Chrome и браузеры на основе Chromium
Google Chrome и другие браузеры на движке Chromium – например, Opera или Yandex.Браузер – всегда хранят данные пользователя в одном и том же месте, поэтому стилеру не составит проблем их найти. Эти данные хранятся в зашифрованном виде. Однако если зловред уже проник в систему, то все его действия происходят как бы от вашего имени. Поэтому зловред просто просит специальную систему браузера, отвечающую за шифрование сохраненной на компьютере информации, расшифровать эти данные. Поскольку такие запросы от лица пользователя по умолчанию считаются безопасными, в ответ стилер получит ваши пароли и данные банковских карт.
В браузерах, созданных на основе открытого исходного кода Chromium, сохраненные пароли защищены с помощью DPAPI (Data Protection API). При этом используется собственное хранилище браузера, выполненное в виде базы данных SQLite. Извлечь пароли из базы может только тот пользователь операционной системы, который их создал, а также только на том компьютере, на котором они были зашифрованы. Это обеспечивается особенностями реализации шифрования: ключ шифрования включает в себя в определенном виде информацию о компьютере и пользователе системы. Для обычного пользователя вне браузера и без специальных утилит эти данные недоступны.
Но все это не является препятствием для стилера, уже проникшего на компьютер: он запущен с правами самого пользователя, и в этом случае процесс получения всех сохраненных данных в браузере сводится к следующему:
Firefox
Firefox – это единственный браузер, предлагающий дополнительную защиту сохраненной информации от посторонних – в нем можно создать мастер-пароль, без ввода которого данные расшифровать не получится даже на вашем компьютере. Однако эта опция по умолчанию отключена.
В Firefox-браузерах для шифрования используется Network Security Services – набор библиотек от Mozilla для разработки защищенных приложений, в частности библиотека nss3.dll. Но, как и в случае с браузерами на базе Chromium, получение данных из зашифрованного хранилища сводится к тем же простым действиям, только с некоторыми оговорками:
Если вы пользуетесь Firefox, можете защитить сохраненные в браузере данные мастер-паролем. Для этого:
Internet Explorer и Microsoft Edge
Родные браузеры Windows используют для ваших данных специальные хранилища. В разных версиях программ методы защиты вашей информации и сами хранилища различаются, но их надежность все равно оставляет желать лучшего, зловред также без труда получит ваши пароли и данные кредиток, запросив их у хранилища от вашего имени.
В версиях Internet Explorer 4.x–6.0 сохраненные пароли и данные автозаполнения хранились в так называемом Protected Storage. Для их получения (не только данных IE, но и других приложений, которые используют это хранилище) стилеру необходимо подгрузить библиотеку pstorec.dll и простым перечислением получить все данные в открытом виде.
В версиях Internet Explorer 7 и 8 применяется несколько другой подход: для хранения используется CredentialStore, шифрование осуществляется с использованием «соли» («соль» – некая последовательность данных, которую добавляют к криптоключу для предотвращения декодирования информации методом перебора). К сожалению, эта «соль» всегда одинакова и хорошо известна, а потому стилер может также вызовом уже знакомой нам функции CryptUnprotectData получить все сохраненные пароли.
Internet Explorer 9 и Microsoft Edge используют новый тип хранилища – Vault. Но стилер подгружает vaultcli.dll, вызывает несколько функций оттуда и получает все сохраненные данные.
Что станет с данными украденными стилером?
Заполучив пароли и другую информацию из браузера в открытом виде, зловред отправит ее своим хозяевам. Дальше возможны два варианта: либо создатели зловреда воспользуются ею сами, либо продадут на черном рынке другим киберпреступникам – такой товар всегда в цене.
Если вы хранили в браузере данные банковских карт, убытки могут оказаться прямыми – ваши деньги потратят или переведут на свои счета. Также краденные аккаунты могут использоваться со множеством других целей – от распространения спама и раскрутки сайтов или приложений, до рассылки вирусов и отмывки денег, украденных у других людей.
Как защитить свои данные от стилеров
Популярность вредоносных программ, которые охотятся за данными браузеров, не спадает. Существующие троянцы-стилеры активно поддерживаются, обновляются и дополняются новыми функциями. Как видите, если зловред проник на ваш компьютер, сохраненные в браузере данные, а вместе с ними финансы и репутация оказываются под угрозой. Чтобы избежать такой ситуации:
Особенности киберохоты: как Hunter Stealer пытался угнать Telegram-канал «База»
Кейс «Базы»
Стилер написан на C++ и рассылается владельцам каналов под видом предложения рекламы. Например, экземпляр, разбираемый в этой статье, маскировался под рекламу от GeekBrains.
Данный стилер продается на нескольких форумах и активно рекламируется самим продавцом.
Функционал
Функционал стилера реализован в методах, представленных ниже:
В процессе работы каждого метода похищенные данные записываются во временный файл со случайными именем и расширением:
Полученные временные файлы помещаются в архив внутри памяти процесса и затем удаляются.
Discord
Для похищения сессии Discord стилер ищет папку “\discord\Local Storage\leveldb\” и копирует содержимое каждого файла во временный файл.
В архиве файлы записываются в папку с названием приложения и сохраняют изначальное имя файла “Application\File.name”.
Для примера была создана папка “\discord\Local Storage\leveldb\” с файлом “T.token”.
Скриншот рабочего пространства
Для получения длины и ширины экрана используется win API GetSystemMetrics(). GetDC(0) используется, чтобы получить handle всего экрана, и с помощью CreateCompatibleBitmap() создается bitmap-объект, который сохраняется в файл “Desktop.png”.
Сбор файлов
Стилер получает путь USERPROFILE = “C:\Users\USERNAME” и собирает все файлы с расширениями из списка:
.lua (скрипты для GTA SAMP)
Steam
Для стилера интересны файлы с расширением “.ssfn” в папке “Software\Valve\Steam\ssfn” и все файлы из папки “Steam/config/”.
Для обхода защиты Steam Guard и доступа к аккаунту необходимо, чтобы пароль был сохранен в Steam-клиенте (галочка «Запомнить пароль»). Также нужны файлы с компьютера жертвы, которые собирает стилер:
Telegram
Стилер проверяет наличие Telegram среди процессов и получает расположение исполняемого файла «Telegram.exe». Далее программа проверяет, есть ли passcode в папке “key_datas”, и, если он установлен — стилер начинает похищать данные других приложений. Если же Telegram не защищен passcode’ом, то стилер похищает из папки “\tdata\” файл, начинающийся с “D877F783D5D3EF8C” (в конце может быть любой символ), и файл, находящийся в “\tdata\ D877F783D5D3EF8C” и начинающийся с “map” (в конце может быть любой символ). Этих двух файлов будет достаточно для похищения сессии Telegram.
GTA SAMP
Данный стилер изначально ориентирован на игроков в GTA SAMP и похищение их аккаунтов. Об этом говорят файлы, собираемые с компьютера жертвы (скрипты, которые могут относиться к игре) и файлы, собираемые из “\Documents\GTA San Andreas User Files\SAMP\”. Для стилера интересны следующие файлы:
USERDATA.DAT — хранит информацию о серверах, записывается в “SAMP\servers.fav”
chatlog.txt — записывается в «SAMP\chatlog.txt»
Браузеры
Учетные данные пользователей браузера Mozilla Firefox стилер похищает из файла “logins.json”, который ищет в “\Mozilla\Firefox\Profiles”. Из браузеров Google Chrome и Chromium собираются:
данные о местоположении
учетные данные от аккаунтов на ресурсах
данные для автозаполнения форм
Данные криптокошельков
Для всех криптокошельков алгоритм одинаковый:
Расшифровывается путь, связанный с кошельком:
Atomic — “\Atomic\Local Storage\leveldb\”
Содержимое всех файлов переносится во временные файлы и помещается в архиве в папку с именем кошелька:
Бот нашел тестовый файл в папке.
И переместил его в архив.
Отчет
После сбора всех пользовательских данных создается файл «readme.txt», содержащий информацию о похищенных данных.
Для всех приложений в отчете отмечается, получилось ли похитить данные.
Но для криптокошельков всегда отмечается “-”. Это может свидетельствовать о том, что похищенные данные кошельков не отправляются клиенту, а остаются у владельца сервера.
Все собранные файлы помещаются в архив и отправляются на CnC.
Взаимодействие с CnC
Адрес командного центра также находится в зашифрованных строках:
Сетевое взаимодействие происходит через IPv6 или, если он недоступен — через IPv4 по протоколу TCP. Для отправки архива с похищенными данными открывается сокет с портом 0x8AE = 2222.
В виде админ-панели выступает Telegram-бот, который находится на VDS (Virtual Dedicated Server). Похищенные данные изначально попадают к владельцу сервера, а затем отправляются клиенту через Telegram-бота.
В дампе трафика, полученного из отчета модуля THF Polygon, видим передачу архива.
Шифрование
Алгоритм шифрования, используемый для защиты строк:
На вход функции дешифровки подаются три параметра:
XOR-константа для данного слова
константа для инициализации KSA (Key Scheduling Algorithm)
Для генерации ключа используются два последовательных KSA. Первый ключ генерируется по длине нужной строки из константы и ключа размером 32 байта, который генерируется алгоритмом MurMurHash2 по 4 байта. Второй получает результат работы первого и еще один сгенерированный через MurMurHash2 ключ.
Для каждого символа ключа, полученного из второго KSA, выполняется операция XOR с константным значением.
Реализация алгоритма MurMurHash2
Противодействие анализу
Для противодействия анализу используются следующие методы:
шифрование строк, разобранное выше
определение наличия отладки через win API-вызов IsDebuggerPresent()
Продавец и разработчик
В объявлениях на форумах продавец Hunter указывает свой контакт в Telegram как @NoFex228. К этому аккаунту привязан профиль Александра ХХ. во «ВКонтакте», где обнаружено несколько постов, связанных с различными стилерами и продажей аккаунтов из GTA SAMP. Telegram-аккаунт разработчика указан во всех отчетах бота как @karelli. К нему привязан телефонный номер, связанный со страницей «ВКонтакте» некоего Анатолия ХХ.
Заключение
Хотя Hunter Stealer не отличается ни обширным функционалом, ни серьезным противодействием анализу, вредоносное ПО, похищающее пользовательские данные, способно нанести серьезный ущерб. Опасность такого ВПО — в скорости выполнения задач и простом доступе к ценной информации.
Если у владельца Telegram-канала не включен код-пароль приложения, то злоумышленникам не составит труда восстановить сессию и сменить владельца канала. Так что вывод прост: не открывать подозрительные сообщения, архивы и ссылки и не пользоваться ОС, где стилеры чувствуют себя как дома.
Что делать, если заражение уже произошло?
Пока компьютер инфицирован, устанавливать код-пароль нет смысла, так как вредоносная программа может обладать возможностями клавиатурного шпиона. К работе на этом ПК можно возвращаться только после нейтрализации вредоносного кода.
Для администратора необходимо оперативно завершить активный сеанс на инфицированном компьютере и с помощью другого устройства (например, смартфона) сменить облачный пароль в настройках конфиденциальности, установить код-пароль на всех других доверенных устройствах.
Стиллер паролей на python с отправкой на почту
Стиллер паролей на python
Привет, сейчас будем делать стиллер паролей на ЯП python. Наш стиллер будет воровать пароли браузеров таких как хром, яндекс браузер, амиго, и др., их куки, делать скриншот экрана, узнавать айпи адрес пк на котором открыли стиллер, его место нахождение и его установленная система.
Приступим к делу
Создаем новый файл в IDLE Python или в другой IDE.
Подключаем все нужные библиотеки. В некоторых нужно в cmd скачивать модули.
Собираем с пользователя все его данные.
Собираем пароли с хрома.
Собираем куки с хрома.
Пароли с яндекс браузера.
Данные с FILEZILLA.
Делаем скриншот экрана.
Тут записываем наши тхт в один ZIP — doc.
Вот он наш ZIP по всеми данными.
Тут мы создаем вложение для нашего doc’а ZIP.
Здесь мы собственно производим отправку на емаил с помощью SMTP
Чтобы отправилось сообщение с вашей новой почты gmail нужно проделать это:
На странице «Аккаунт Google» откройте раздел Ненадежные приложения, у которых есть доступ к аккаунту, и включите. Тогда все будет ОК.
Открываете cmd консоль и пишете cd и путь к папке где лежит ваш файл с кодом, ентер.
cd и путь к файлу.
Ссылки
О песочнице
Это «Песочница» — раздел, в который попадают дебютные посты пользователей, желающих стать полноправными участниками сообщества.
Если у вас есть приглашение, отправьте его автору понравившейся публикации — тогда её смогут прочитать и обсудить все остальные пользователи Хабра.
Чтобы исключить предвзятость при оценке, все публикации анонимны, псевдонимы показываются случайным образом.
О модерации
Не надо пропускать: