Dead Drop в Steam: хакеры нашли безопасную гавань для C2-инфраструктуры

Dead Drop в Steam: хакеры нашли безопасную гавань для C2-инфраструктуры

Как игровая платформа помогает обходить защиту компаний?

image

По данным экспертов ГК «Солар» , хакеры начали активно использовать крупнейшую игровую онлайн-платформу Steam для организации кибератак. Специалисты из центра исследования киберугроз Solar 4RAYS выявили, что злоумышленники создают аккаунты на этой платформе и прячут в их описаниях информацию о серверах управления вредоносным ПО. Тогда вирус из зараженной инфраструктуры обращается не напрямую к подозрительному IP-адресу, а к легальному ресурсу, что значительно усложняет выявление вредоносной активности и своевременную блокировку атаки, сообщают аналитики.

Хакеры используют технику под названием Dead Drop Resolver. Она заключается в том, что злоумышленники размещают на легитимных онлайн-платформах контент, содержащий информацию о C&C-серверах (C2-серверах), с которых осуществляется управление вредоносным ПО. Эти данные могут быть опубликованы как в зашифрованном виде, так и в виде открытого текста. После заражения системы, вредоносное ПО обращается к такому ресурсу и получает оттуда адрес управляющего сервера (C2).

Эксперты подчеркивают, что на данный момент через Steam в основном распространяются стилеры — вирусы, предназначенные для кражи паролей и другой конфиденциальной информации. Однако схема может применяться для распространения любых типов вредоносного ПО. Помимо Steam, для подобных целей злоумышленники используют платформы Pastebin, YouTube, Telegram и даже X* (бывший Twitter).

Техника Dead Drop Resolver позволяет хакерам создавать более устойчивую инфраструктуру для командных серверов (C2), так как они могут в любой момент обновить информацию о доступных серверах управления, отмечают эксперты. Запросы к легальным ресурсам, таким как Steam, не вызывают подозрений в корпоративных сетях, что значительно затрудняет обнаружение вредоносной активности. При этом во вредоносных файлах, заражающих устройства, отсутствуют явные указания на командный сервер или конфигурацию вредоносного ПО, что дополнительно усложняет их идентификацию.

На данный момент платформа Steam активно используется для распространения стилеров, таких как MetaStealer, Vidar, Lumma и ACR, которые крадут учетные данные, информацию браузеров, данные о программах и процессах, а также переписки и данные криптокошельков. Эти атаки могут иметь серьезные последствия для компаний, особенно если вовремя не выявить вредоносное ПО. Эксперты рекомендуют службам безопасности обращать внимание на любые подозрительные запросы к платформе Steam из корпоративных сетей, поскольку это может свидетельствовать о наличии вредоносной активности.

Стилеры, такие как MetaStealer, Vidar, Lumma и ACR, активно распространяемые через Steam, способны похищать широкий спектр данных: пароли, списки установленных программ, информацию о запущенных процессах, переписку в мессенджерах, криптокошельки и другую конфиденциальную информацию. Последствия от подобных атак могут быть критическими для компаний, что делает необходимым усиление контроля со стороны ИТ-безопасности. В ГК «Солар» рекомендуют службам безопасности обращать внимание на подозрительные запросы к Steam из корпоративных сетей, поскольку это может свидетельствовать о присутствии вредоносного ПО.

Steam — крупнейшая в мире площадка для цифровой дистрибуции видеоигр, разработанная компанией Valve. Ежемесячная активная аудитория платформы составляет около 132 миллионов пользователей. Платформа предоставляет доступ не только к играм, но и к различным социальным функциям, таким как обмен сообщениями, создание групп и облачное хранение данных.

*Социальная сеть запрещена на территории Российской Федерации.

Мы расшифровали формулу идеальной защиты!

Спойлер: она начинается с подписки на наш канал

Введите правильный пароль — подпишитесь!