我们常常讨论游戏玩家会遇到的各种网络安全威胁,有暗藏于盗版游戏和外挂作弊器中的恶意程序,更有数不胜数出现在游戏虚拟物品交易时的钓鱼和欺诈行为。不久之前我们还关注到购买游戏账号时可能出现的一系列问题。幸运的是,如果你能提前了解这些威胁的存在,就能轻松避开它们。
除此之外,你还需要了解并且提防来自另一个问题的威胁:密码窃取器。它们专门窃取账号信息,要么是用户名密码组合,要么是认证令牌(session token),我们的安全防护软件会在发现这种恶意程序时将其标记上Trojan-PSW的前缀。
你或许听说过Steam stealer这个木马程序,它专门窃取世界上最大游戏服务平台Steam的账号。其实除了Steam之外,还有许多其他游戏平台,比如Battle.net,Origin,Uplay,Epic Games和WeGame等等。这些平台全部都拥有数百万用户,所以自然会引起攻击者的兴趣,也会有许多针对于它们的密码窃取器。
何为密码窃取器
密码窃取器是一种专门窃取账号信息的恶意程序,本质上类似于银行木马。区别在于,银行木马会截获或者替代用户输入的数据,而密码窃取器则通常偷取已经存储在计算机上的信息,比如保存在浏览器中的用户名和密码,本地cookies,以及硬盘上的其他文件。更令人可怕的是,有些密码窃取器不仅仅打游戏账号的主意,它们还盯上了受害者的银行帐号信息。
密码窃取器获取账号信息的方式多种多样。以木马Kpot(即Trojan-PSW.Win32.Kpot)为例,它主要借助于垃圾邮件的附件来传播,这些附件可以利用软件(比如微软Office)的安全漏洞来下载恶意程序。
接下来,密码窃取器将被感染计算机上已安装程序的信息发送至指挥控制服务器(C&C server)并等待下一步行动的指令。可能的指令有窃取本地Cookies甚至Telegram和Skype账号信息等等。
除此之外,它还可以窃取%APPDATA%\Battle.net文件夹中扩展名为.config的文件,也许你已经猜到了,这个文件夹正和暴雪游戏的启动程序Battle.net相关。这些文件中存有游戏玩家的认证令牌,它能让黑客无需用户名密码就可以伪装成用户来登录游戏账号。
黑客这样做目的何在?原因很简单,他们可以迅速卖掉受害者游戏中的虚拟物品装备,往往可以大赚一笔,在魔兽世界、梦幻西游等有着让人羡慕的稀有装备的网游中,一些装备甚至能够交易出上万元的价格。
还有一种名为Okasidis的恶意软件,它以育碧公司的游戏启动程序Uplay为目标。我们已经将这种恶意程序标记为Trojan-Banker.MSIL.Evital.gen。它窃取游戏账号的方式几乎和Kpot木马程序一样,不同之处是它会针对两个具体目标文件:%LOCALAPPDATA%\Ubisoft Game Launcher\users.dat 和 %LOCALAPPDATA%\Ubisoft Game Launcher\settings.yml。
另一种名为Thief Stealer(标记为HEUR:Trojan.Win32.Generic)的恶意程序也同样针对Uplay的游戏账号,它会直接打包获取%LOCALAPPDATA%\Ubisoft Game Launcher\ 文件夹下的所有文件。
还有恶意软件BetaBot(标记为Trojan.Win32.Neurevt),它会同时攻击Uplay,Origin和Battle.net账号。不过这个木马程序的攻击方式不同,当用户访问URL中含有某些特定关键词(比如”uplay”或者”origin”)的网页时,它会搜集这些网页中表单的数据。因此,攻击者可以直接获取用户输入到网页中的用户名和密码信息。
在以上三种情况中,攻击都是在用户并不知晓的情况下发生的,木马程序不会在计算机中露出马脚,不会在屏幕上显示任何窗口来发送请求,它只会悄无声息地窃取文件和数据。
如何防止针对游戏账号的木马?
原则上,游戏账号和其他信息的防护大致相同,包括防止信息窃取程序带来的威胁。我们可以按照以下方式来抵御木马小偷程序:
- 使用双重认证授权来保护你的账号,例如Steam的Steam令牌和Battle.net的暴雪手机安全令。Epic Games也支持第三方认证程序和短信邮件认证两种方式供玩家选择。
- 请勿从可疑网站下载游戏修改器或者盗版游戏。攻击者非常了解人们贪图免费产品的心理,他们对此加以利用然后将恶意程序隐藏在游戏破解软件和游戏修改器中。
- 使用可靠的安全防护软件,例如卡巴斯基安全软件,它们可以捉获密码窃取器并终止它们的恶意操作。
- 请勿在游戏运行时关闭杀毒软件,否则密码窃取器将立即暗自启动。卡巴斯基安全软件的游戏模式可以在游戏运行时有效控制杀毒软件对系统资源的消耗,它可以在不影响游戏性能或者帧率的情况下仍旧提供有效的安全防护。