Chevaux de Troie et comptes de jeux volés

Nous parlons souvent des menaces en ligne que les amateurs de jeux vidéo rencontrent : copies piratées qui contiennent un malware, mods, codes de triche, hameçonnage et bien d’autres arnaques lorsqu’il s’agit d’acheter ou d’échanger des objets au sein du jeu. Il n’y a pas si longtemps, nous avons analysé les problèmes qui découlent de l’achat de comptes. Heureusement, ces menaces sont assez faciles à éviter si vous les connaissez.

Il existe un autre problème dont vous devez être conscient pour vous protéger : les voleurs de mots de passe. Lorsque nos solutions de sécurité les détectent, elles les appellent généralement Trojan-PSW.(quelque chose). Ce sont des chevaux de Troie conçus pour voler des comptes, qu’il s’agisse de la combinaison identifiant / mot de passe ou du token de la session.

Peut-être avez-vous déjà lu cet article sur les hackers de Steam qui utilisent des chevaux de Troie pour voler les comptes du service de jeux vidéo le plus connu dans le monde. Il existe toutefois bien d’autres plateformes, comme Battle.net, Origin, Uplay et Epic Games Store. Toutes ont des audiences qui s’élèvent à plusieurs millions d’euros alors, bien évidemment, les cybercriminels sont intéressés, et créent aussi des voleurs pour ces plateformes.

Qu’est-ce qu’un voleur de mots de passe ?

Un voleur de mots de passe est un type de malware qui vole les informations relatives à un compte. En substance, il ressemble à un cheval de Troie bancaire mais, au lieu d’intercepter ou de remplacer les données saisies, il vole généralement les informations déjà conservées dans l’ordinateur : identifiants et mots de passe sauvegardés dans le navigateur, cookies et autres fichiers qui s’avèrent être dans le disque dur du dispositif infecté. De plus, certains comptes de jeux ne sont qu’une des cibles du voleur puisque les identifiants de votre banque en ligne l’intéressent également.

Le voleur peut obtenir les comptes de diverses façons. Il existe notamment le cheval de Troie voleur Kpot (connu comme Trojan-PSW.Win32.Kpot). Il est principalement distribué par e-mail (spam) et contient une pièce jointe qui exploite les vulnérabilités (de Microsoft Office, par exemple) pour télécharger le véritable malware sur l’ordinateur.

Ensuite, le voleur envoie les informations relatives aux programmes installés sur l’ordinateur au serveur de contrôle et de commande, et attend de recevoir les ordres pour passer à l’action. Les commandes possibles sont les suivantes : vol des cookies, vol des comptes Telegram et Skype, etc.

De plus, il peut voler les fichiers ayant l’extension .config dans le dossier %APPDATA%\Battle.net qui, comme vous pouvez l’imaginer, est lié à Battle.net, la plateforme de Blizzard pour lancer les jeux. Ces fichiers contiennent notamment le token correspondant à la session du joueur. Les cybercriminels n’obtiennent pas directement l’identifiant et le mot de passe mais ils peuvent utiliser le token pour se faire passer pour le joueur.

Pourquoi font-ils cela ? C’est très simple. Ils peuvent rapidement vendre tous les objets que la victime possède dans le jeu, ce qui leur permet parfois de gagner une belle somme d’argent. Ce scénario peut être utilisé pour de nombreux jeux Blizzard, y compris World of Warcraft et Diablo 3.

Un autre malware, qui s’en prend à Uplay, la plateforme d’Ubisoft pour lancer les jeux, se nomme Okasidis, et nos solutions l’identifient comme Trojan-Banker.MSIL.Evital.gen. En ce qui concerne les comptes de jeux, il se comporte exactement de la même façon que le cheval de Troie Kpot, sauf qu’il vole deux fichiers spécifiques : %LOCALAPPDATA%\Ubisoft Game Launcher\users.dat et %LOCALAPPDATA%\Ubisoft Game Launcher\settings.yml.

Le malware Thief Stealer (détecté sous le nom de HEUR:Trojan.Win32.Generic) s’intéresse aussi à Uplay et récupère tous les fichiers du dossier %LOCALAPPDATA%\Ubisoft Game Launcher\.

Uplay, Origin et Battle.net sont également victimes du malware BetaBot (Trojan.Win32.Neurevt). Ce cheval de Troie agit de façon différente. Si l’utilisateur visite une URL qui contient certains mots-clés (n’importe quelle adresse avec les mots « uplay » ou « origin », par exemple), le malware autorise la collecte des données à partir de formulaires. De cette façon, les identifiants et mots de passe saisis sur ces pages sont directement envoyés aux cybercriminels.

Dans ces trois situations, il est fort probable que l’utilisateur ne remarque rien. Le cheval de Troie ne se révèle en aucun cas dans l’ordinateur, n’affiche pas de fenêtre pour faire une demande et ne fait que voler les fichiers et / ou les données en cachette.

Comment se protéger des chevaux de Troie avides de comptes de jeux

En général, les comptes de jeux doivent être protégés de la même façon que n’importe quelle autre chose, y compris contre les voleurs. Suivez les conseils ci-dessous pour déjouer les plans des chevaux de Troie voleurs :

• Protégez votre compte à l’aide de l’authentification à deux facteurs. Steam propose Steam Guard, Battle.net a l’Authenticator Blizzard, et Epic Games Store vous laisse choisir entre une application d’authentification et une authentification par e-mail ou par SMS. Si votre compte est protégé par l’authentification à deux facteurs, votre identifiant et votre mot de passe ne sont pas suffisants et les cybercriminels ne peuvent pas accéder au compte.
• Ne téléchargez pas les mods ou les logiciels piratés à partir de sites Internet douteux. Les pirates informatiques savent très bien que les utilisateurs brûlent d’envie d’obtenir ces outils gratuitement, et ils s’en servent notamment pour cacher un malware dans les cracks, les codes de triche et les mods.
• Installez une solution de sécurité fiable. Par exemple, Kaspersky Security Cloud attrape tous ces voleurs et les empêche de récolter quoi que ce soit.
• Ne désactivez pas votre antivirus lorsque vous jouez. Si vous le faites, un voleur de mots de passe peut soudainement passer à l’action. Le mode de jeux de Kaspersky Security Cloud empêche l’antivirus d’utiliser trop de ressources système pendant vos parties. Il n’affecte ni les performances ni le nombre d’images par seconde, mais garantit votre sécurité.