Uwaga: fałszywe strony gier itch.io kradną konta graczy i rozpowszechniają złośliwe oprogramowanie

Uwaga: fałszywe strony gier itch.io kradną konta graczy i rozpowszechniają złośliwe oprogramowanie

Coraz więcej oszustw wymierzonych w użytkowników Itch.io

Ostatnie doniesienia Malwarebytes zwróciły uwagę na niepokojące oszustwo, które dotknęło społeczność graczy na platformie gier niezależnych Itch.io. Sprawcy tego oszustwa wykorzystują zaufanie między innymi graczami a niezależnymi twórcami gier, podszywając się pod popularne tytuły, takie jak gra Archimoulin.

Jak działa oszustwo

Proces rozpoczyna się od wykorzystania przez oszustów przejętych kont na zaufanych platformach komunikacyjnych, takich jak Discord. Taka taktyka zwiększa prawdopodobieństwo, że potencjalne ofiary zaufają i klikną w dostarczone złośliwe linki.

Po kliknięciu użytkownicy są przekierowywani na oszukańczą stronę internetową, która naśladuje projekt Itch.io, często hostowaną w subdomenach Blogspot lub usługach chmurowych. W bardziej zaawansowanych wariantach oszustwa, ofiarom może zostać przedstawiona fałszywa strona logowania Discord w celu przechwycenia ich danych logowania. To nie tylko kompromituje konto ofiary, ale także umożliwia oszustom wysyłanie kolejnych złośliwych wiadomości.

Złośliwe pobieranie i taktyki unikania

Ofiary, które trafią na fałszywą stronę z grą, zobaczą przycisk pobierania, ale zamiast pobrać grę, przypadkowo otrzymają plik, zazwyczaj o nazwie Setup Game.exe. Ten plik wykonywalny został zaprojektowany do działania bez widocznego interfejsu użytkownika, takiego jak kreator instalacji czy pasek postępu, przez co łatwo go przeoczyć.

Ten złośliwy program aktywuje program PowerShell i uruchamia zakodowane polecenie, uniemożliwiając natychmiastowe wykrycie szkodliwych skryptów. Wykonywanie kodu bezpośrednio w pamięci utrudnia tradycyjnemu oprogramowaniu antywirusowemu identyfikację zagrożenia. Co więcej, użycie triku. NET pozwala ukryć okno programu PowerShell przed użytkownikiem.

Aby dodatkowo utrudnić użytkownikom interwencję, złośliwe oprogramowanie wykorzystuje taskkillpolecenie wymuszające zamknięcie popularnych przeglądarek internetowych, takich jak Chrome, Firefox, Brave, Edge i Opera. Uniemożliwia to użytkownikom szybkie wyszukiwanie informacji lub zatrzymanie procesu instalacji.

Poziom zagrożenia i zalecane działania

To złośliwe oprogramowanie działa jak stager lub loader, który nie komunikuje się bezpośrednio z serwerami zewnętrznymi. Zamiast tego przeprowadza kontrole, takie jak analiza wpisów w rejestrze, BIOS-u lub konfiguracji sieci, aby upewnić się, że działa na legalnym komputerze, a nie w kontrolowanym środowisku sandbox. Gdy warunki zostaną uznane za sprzyjające, ten ukryty komponent pobierze dodatkowe złośliwe oprogramowanie, które może obejmować backdoory, keyloggery lub programy do kopania kryptowalut.

Malwarebytes zaleca każdemu, kto uruchomi złośliwy plik, natychmiastowe podjęcie działań. Kluczowe jest:

  • Zmień hasła do kont Discord, e-mail i Steam.
  • Włącz uwierzytelnianie dwuskładnikowe z bezpiecznego urządzenia.
  • Wyloguj się ze wszystkich aktywnych sesji.
  • Cofnij wszystkie autoryzowane aplikacje lub tokeny stron trzecich.
  • Odłącz komputer od Internetu.

Zachowaj czujność wobec niechcianych linków

Jeśli obawiasz się tego ciągłego zagrożenia, zachowaj czujność na nieoczekiwane wiadomości zawierające podejrzane linki do pobrania gier, a także na wszelkie nietypowe zachowania przeglądarki, takie jak awarie lub nagłe pojawianie się nowych folderów. W przypadku ataku na system, zdecydowanie zaleca się całkowitą ponowną instalację systemu Windows.

Więcej szczegółów można znaleźć w pełnym raporcie na stronie internetowej Neowin.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *