Steam-ის პლატფორმაზე, კერძოდ კი Wallpaper Engine-ის მომხმარებელთა მიერ შექმნილ კონტენტში, მავნე პროგრამების გავრცელების ახალი ტალღა დაფიქსირდა. კიბერდანაშაულებრივი ჯგუფები პლატფორმის Workshop-ს იყენებენ იმისთვის, რომ მოთამაშეებს დაინფიცირებული ფონები ჩამოატვირთინონ, რაც საბოლოოდ ანგარიშების გატაცებით ან კომპიუტერში ბექდორების ჩანერგვით სრულდება.

Wallpaper Engine არის პოპულარული აპლიკაცია, რომელიც მომხმარებლებს საშუალებას აძლევს, დესკტოპის ფონად ანიმაციური და ინტერაქტიული გამოსახულებები დააყენონ. პრობლემა სწორედ „აპლიკაციის ტიპის“ ფონებშია, რომლებიც სინამდვილეში დამოუკიდებელ პროგრამებს წარმოადგენენ.

ასეთი ფონები შეიძლება იყოს მინი-თამაშები, კალენდრები ან სისტემური მონიტორები. სწორედ ამ მახასიათებლის ბოროტად გამოყენებით, ჰაკერები ფონების პაკეტებში მავნე კოდს ნერგავენ. კვლევის თანახმად, ათობით ასეთი ფონი უკვე ათასობით მომხმარებელს ჰქონდა გადმოწერილი.

16 ფოტო — დააჭირე გასადიდებლად

როგორ მუშაობს მავნე პროგრამა?

თავდამსხმელები ორ ძირითად მეთოდს იყენებენ: მავნე ფაილების პირდაპირ ინტეგრირებას ფონის არქივში ან პაროლით დაცულ არქივებს, სადაც პაროლი ხშირად თავად ფაილის სახელში ან კონფიგურაციის ფაილებშია დამალული.

ერთ-ერთი აღმოჩენილი ნიმუში, რომელიც თამაშის სახით იყო შეფუთული, ერთი შეხედვით უვნებელი ჩანდა. თუმცა, მისი გაშვებისას სისტემაში ავტომატურად იტვირთებოდა მავნე პროგრამა Synaptics.exe, რომელიც DarkKomet-ის ოჯახს მიეკუთვნება.

პროცესის პარალელურად, მავნე მოდული ახდენს სისტემური ბიბლიოთეკის AggregatorHost.dll-ის მოდიფიცირებას. მისი მთავარი მიზანია Steam-ის აქტიური სესიის მოძიება და მომხმარებლის ავტორიზაციის მონაცემების მოპარვა.

მოპოვებული ინფორმაცია პირდაპირ ჰაკერების კონტროლირებად სერვერზე იგზავნება. ამის შემდეგ თავდამსხმელებს უკვე შეუძლიათ, დაზარალებულის ანგარიშის გამოყენებით თავად განათავსონ ახალი, მავნე ფონები პლატფორმაზე.

ვის ემუქრება საფრთხე?

სტატისტიკის მიხედვით, თავდასხმების 89% ჩინეთში დაფიქსირდა, თუმცა საფრთხე გლობალურია. ჰაკერები იყენებენ სხვადასხვა ინსტრუმენტებს — ინფოსტილერებიდან დაწყებული კრიპტომაინერებით დამთავრებული. რუსეთი, სინგაპური და ევროპის ქვეყნები ასევე მოხვდნენ დაზარალებულთა სიაში.

მიუხედავად იმისა, რომ Steam-ის გუნდმა იდენტიფიცირებული მავნე ფონები წაშალა, ახალი საფრთხეების გაჩენის ტემპი მაღალია. უსაფრთხოების ექსპერტები გვირჩევენ, ნებისმიერი გადმოწერილი ფონი ანტივირუსული პროგრამით შევამოწმოთ, განსაკუთრებით იმ შემთხვევაში, თუ ის დამატებით შესრულებად ფაილებს (EXE, DLL) შეიცავს.