{"id":15127,"date":"2020-06-17T13:11:15","date_gmt":"2020-06-17T13:11:15","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=15127"},"modified":"2020-06-17T13:29:53","modified_gmt":"2020-06-17T13:29:53","slug":"gaming-password-stealers","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/gaming-password-stealers\/15127\/","title":{"rendered":"Chevaux de Troie et comptes de jeux vol\u00e9s"},"content":{"rendered":"

Nous parlons souvent des menaces en ligne que les amateurs de jeux vid\u00e9o rencontrent\u00a0: copies pirat\u00e9es qui contiennent un malware, mods, codes de triche, hame\u00e7onnage et bien d\u2019autres arnaques<\/a> lorsqu\u2019il s\u2019agit d\u2019acheter ou d\u2019\u00e9changer des objets au sein du jeu. Il n\u2019y a pas si longtemps, nous avons analys\u00e9 les probl\u00e8mes qui d\u00e9coulent de l\u2019achat de comptes<\/a>. Heureusement, ces menaces sont assez faciles \u00e0 \u00e9viter si vous les connaissez.<\/p>\n

Il existe un autre probl\u00e8me dont vous devez \u00eatre conscient pour vous prot\u00e9ger\u00a0: les voleurs de mots de passe. Lorsque nos solutions de s\u00e9curit\u00e9 les d\u00e9tectent, elles les appellent g\u00e9n\u00e9ralement Trojan-PSW.(quelque chose). Ce sont des chevaux de Troie con\u00e7us pour voler des comptes, qu\u2019il s\u2019agisse de la combinaison identifiant \/ mot de passe ou du token de la session.<\/p>\n

Peut-\u00eatre avez-vous d\u00e9j\u00e0 lu cet article sur les hackers de Steam<\/a> qui utilisent des chevaux de Troie pour voler les comptes du service de jeux vid\u00e9o le plus connu dans le monde. Il existe toutefois bien d\u2019autres plateformes, comme Battle.net, Origin, Uplay et Epic Games Store. Toutes ont des audiences qui s\u2019\u00e9l\u00e8vent \u00e0 plusieurs millions d\u2019euros alors, bien \u00e9videmment, les cybercriminels sont int\u00e9ress\u00e9s, et cr\u00e9ent aussi des voleurs pour ces plateformes.<\/p>\n\n

Qu\u2019est-ce qu\u2019un voleur de mots de passe ?<\/h2>\n

Un voleur de mots de passe est un type de malware qui vole les informations relatives \u00e0 un compte. En substance, il ressemble \u00e0 un cheval de Troie bancaire mais, au lieu d\u2019intercepter ou de remplacer les donn\u00e9es saisies, il vole g\u00e9n\u00e9ralement les informations d\u00e9j\u00e0 conserv\u00e9es dans l\u2019ordinateur\u00a0: identifiants et mots de passe sauvegard\u00e9s dans le navigateur<\/a>, cookies et autres fichiers qui s\u2019av\u00e8rent \u00eatre dans le disque dur du dispositif infect\u00e9. De plus, certains comptes de jeux ne sont qu\u2019une des cibles du voleur puisque les identifiants de votre banque en ligne l\u2019int\u00e9ressent \u00e9galement.<\/p>\n

Le voleur peut obtenir les comptes de diverses fa\u00e7ons. Il existe notamment le cheval de Troie voleur Kpot (connu comme Trojan-PSW.Win32.Kpot). Il est principalement distribu\u00e9 par e-mail (spam) et contient une pi\u00e8ce jointe qui exploite les vuln\u00e9rabilit\u00e9s (de Microsoft Office, par exemple) pour t\u00e9l\u00e9charger le v\u00e9ritable malware sur l\u2019ordinateur.<\/p>\n

Ensuite, le voleur envoie les informations relatives aux programmes install\u00e9s sur l\u2019ordinateur au serveur de contr\u00f4le et de commande, et attend de recevoir les ordres pour passer \u00e0 l\u2019action. Les commandes possibles sont les suivantes\u00a0: vol des cookies, vol des comptes Telegram et Skype, etc.<\/p>\n

De plus, il peut voler les fichiers ayant l\u2019extension .config dans le dossier %APPDATA%\\Battle.net qui, comme vous pouvez l\u2019imaginer, est li\u00e9 \u00e0 Battle.net, la plateforme de Blizzard pour lancer les jeux. Ces fichiers contiennent notamment le token correspondant \u00e0 la session du joueur. Les cybercriminels n\u2019obtiennent pas directement l\u2019identifiant et le mot de passe mais ils peuvent utiliser le token pour se faire passer pour le joueur.<\/p>\n

Pourquoi font-ils cela ? C\u2019est tr\u00e8s simple. Ils peuvent rapidement vendre tous les objets que la victime poss\u00e8de dans le jeu, ce qui leur permet parfois de gagner une belle somme d\u2019argent. Ce sc\u00e9nario peut \u00eatre utilis\u00e9 pour de nombreux jeux Blizzard, y compris World of Warcraft<\/em> et Diablo 3<\/em>.<\/p>\n

Un autre malware, qui s\u2019en prend \u00e0 Uplay, la plateforme d\u2019Ubisoft pour lancer les jeux, se nomme Okasidis, et nos solutions l\u2019identifient comme Trojan-Banker.MSIL.Evital.gen. En ce qui concerne les comptes de jeux, il se comporte exactement de la m\u00eame fa\u00e7on que le cheval de Troie Kpot, sauf qu\u2019il vole deux fichiers sp\u00e9cifiques\u00a0: %LOCALAPPDATA%\\Ubisoft Game Launcher\\users.dat et %LOCALAPPDATA%\\Ubisoft Game Launcher\\settings.yml.<\/p>\n

Le malware Thief Stealer (d\u00e9tect\u00e9 sous le nom de HEUR:Trojan.Win32.Generic) s\u2019int\u00e9resse aussi \u00e0 Uplay et r\u00e9cup\u00e8re tous les fichiers du dossier %LOCALAPPDATA%\\Ubisoft Game Launcher\\.<\/p>\n

Uplay, Origin et Battle.net sont \u00e9galement victimes du malware BetaBot (Trojan.Win32.Neurevt). Ce cheval de Troie agit de fa\u00e7on diff\u00e9rente. Si l\u2019utilisateur visite une URL qui contient certains mots-cl\u00e9s (n\u2019importe quelle adresse avec les mots \u00ab\u00a0uplay\u00a0\u00bb ou \u00ab\u00a0origin\u00a0\u00bb, par exemple), le malware autorise la collecte des donn\u00e9es \u00e0 partir de formulaires. De cette fa\u00e7on, les identifiants et mots de passe saisis sur ces pages sont directement envoy\u00e9s aux cybercriminels.<\/p>\n

Dans ces trois situations, il est fort probable que l\u2019utilisateur ne remarque rien. Le cheval de Troie ne se r\u00e9v\u00e8le en aucun cas dans l\u2019ordinateur, n\u2019affiche pas de fen\u00eatre pour faire une demande et ne fait que voler les fichiers et \/ ou les donn\u00e9es en cachette.<\/p>\n

Comment se prot\u00e9ger des chevaux de Troie avides de comptes de jeux<\/h2>\n

En g\u00e9n\u00e9ral, les comptes de jeux doivent \u00eatre prot\u00e9g\u00e9s de la m\u00eame fa\u00e7on que n\u2019importe quelle autre chose, y compris contre les voleurs. Suivez les conseils ci-dessous pour d\u00e9jouer les plans des chevaux de Troie voleurs\u00a0:<\/p>\n