le 28 octobre 2014

A l’automne 2014, notamment au mois de septembre, les spécialistes de Doctor Web ont publié une news sur le Trojan.SteamBurglar.1 qui vole des éléments du jeu Dota 2. Apparemment, les malfaiteurs continuent leurs recherches dans ce domaine, car les spécialistes de Doctor Web ont découvert un nouveau représentant de ce type de logiciels malveillants, baptisé o Trojan.SteamLogger.1.

Ce Trojan est conçu pour voler des éléments dans les jeux suivants : Dota 2, Counter-Strike: Global Offensive et Team Fortress 2. Il est également capable d'enregistrer les frappes clavier (keylogging). Comme son prédécesseur, Trojan.SteamLogger.1 est diffusé via des messages de chat sur Steam ou sur des forums spécialisés sous couvert d'une offre de vente ou d'échange d’éléments de jeux.

Le programme malveillant comporte trois modules : le premier est le dropper qui déchiffre le module principal et le module secondaire. Le module secondaire est placé dans un dossier temporaire sous le nom Update.exe et se lance. Il est chargé dans la mémoire de l'ordinateur infecté via le système d’exploitation. Puis il télécharge sur le site des malfaiteurs et sauvegarde dans le dossier temporaire une image qu'il affiche sur l'écran de l'ordinateur infecté :

il vérifie la présence du dossier Common Files\Steam\ dans le répertoire utilisé par défaut pour l'installation de logiciels dans Windows, et s’il ne le trouve pas, le crée. Puis ce module se copie dans ce dossier sous le nom SteamService.exe, établit ses propriétés comme " système " et " masqué ", puis écrit le chemin vers ce fichier dans la branche du registre système responsable du lancement automatique des applications et le lance. Il envoie ensuite une requête au site des malfaiteurs et s'il ne reçoit pas la réponse " OK ", ilessaie de se connecter au serveur de gestion via un des serveurs proxy, dont la liste est stockée dans le corps du Trojan. Trojan.SteamLogger.1 transmet au serveur de gestion les données sur l'ordinateur infecté (la version de l'OS, son type, ainsi que l'identificateur unique du malware, calculé en utilisant le numéro de série du disque dur sur lequel la partition C est placée). De plus, le Trojan.SteamLogger.1 peut recevoir une commande pour actualiser le module secondaire.

Une fois le module principal lancé et initialisé, le Trojan recherche dans la mémoire de l'ordinateur infecté le processus portant le nom Steam et vérifie si l'utilisateur a accédé à son compte. Sinon, le logiciel malveillant attend l'autorisation du joueur, puis récupère l'info sur ce compte Steam (SteamGuard, steam-id, security token) et envoie ces données aux malfaiteurs. En réponse le Trojan.SteamLogger.1 reçoit la liste des comptes utilisateur auxquels il peut transférer les éléments de jeux de la victime. Toutes les données recueillies seront transmises à un serveur des malfaiteurs, puis le Trojan vérifie si le démarrage automatique autorisé de Steam est activé, et s’il est désactivé, il lance le keylogger, qui transmet les données aux malfaiteurs toutes les 15 secondes.

Pour la recherche des éléments de jeux, le Trojan.SteamLogger.1 utilise des filtres par mots clé comme " Mythical ", " Legendary ", " Arcana ", " Immortal ", " DOTA_WearableType_Treasure_Key ", " Container ", " Supply Crate ". Autrement dit, le logiciel malveillant tente de voler les éléments de jeux les plus précieux, les clés pour les coffres et les coffres. Il surveille également l'activité du joueur et s'il essaie de vendre un élément, le Trojan tente de supprimer cet élément de la vente.

A ce jour, Trojan.SteamLogger.1 cible les joueurs de Dota 2, Counter-Strike: Global Offensive et Team Fortress 2 mais les malfaiteurs peuvent facilement le modifier pour voler des éléments d’autres jeux. Le Trojan envoie tous les éléments volés à l'un des comptes des malfaiteurs dont il a reçu les données via le serveur de gestion. Puis les malfaiteurs tentent de vendre les éléments les moins chers (les clés pour les coffres de Dota 2 par exemple) à l'aide d'une boutique en ligne. Les moyens de vente des autres éléments ne sont pas encore clairs.

La signature du Trojan.SteamLogger.1 a été ajoutée aux bases virales Dr.Web et ce Trojan ne représente aucune menace pour les utilisateurs des logiciels Dr.Web.