In maart van dit jaar ontdekten onze experts een advertentie op een ondergronds forum voor een stukje malware dat door de makers ervan BloodyStealer werd genoemd.
De advertentie beweert dat het de volgende gegevens van geïnfecteerde apparaten onderschept:
- Wachtwoorden, cookies, bankkaartgegevens, gegevens die automatisch worden ingevuld in browsers;
- Apparaatgegevens;
- Screenshots;
- Desktop- en uTorrent-bestanden;
- Bethesda, Epic Games, GOG, Origin, Steam, Telegram en VimeWorld-client-sessies;
- Logboeken.
Wat ons opviel was dat de meeste van de vermelde programma’s met games te maken hebben, wat erop wijst dat er op de ondergrondse markt vraag is naar gamer-accounts en de inhoud daarvan. We besloten om nader onderzoek te doen naar de risico’s waar gamers mee te maken hebben.
BloodyStealer verovert de wereld
Hoewel BloodyStealer relatief nieuw is, doet het zijn ronde over de hele wereld. Volgens onze gegevens heeft de malware gebruikers in Europa, Latijns-Amerika en de regio Asia-Pacific getroffen – niet zo verwonderlijk gezien het malware-as-a-service (MaaS)-distributiemodel, wat betekent dat iedereen het kan kopen en dat de prijs vrij laag is (ongeveer $ 10 per maand of ruwweg $ 40 voor een “levenslange licentie”).
Naast de functies voor diefstal van gegevens, bevat de malware ook een reeks tools die bedoeld zijn om analyses te dwarsbomen (daar kunt u hier meer over lezen). Het stuurt de gestolen informatie als een ZIP-bestand naar de C&C-server, die beschermd is tegen DDoS- en andere web-aanvallen. De cybercriminelen gebruiken het (vrij eenvoudige) controlepaneel of Telegram om de gegevens, waaronder gamer-accounts, te bemachtigen.
Niet alleen door BloodyStealer
BloodyStealer is slechts een van de vele beschikbaar tools op het dark web om gamer-accounts te stelen. Cybercriminelen verkopen andere soorten malware, waarvan er vele al langer op de markt zijn dan BloodyStealer. Bovendien staan op ondergrondse fora vaak advertenties waarin wordt aangeboden een kwaadaardige link op een populaire website te plaatsen of tools te verkopen om automatisch phishing-pagina’s te genereren.
Met behulp van deze tools kunnen cybercriminelen een enorme hoeveelheid inloggegevens verzamelen en hier vervolgens geld mee proberen te verdienen. Op het dark web zijn er allerlei soorten aanbiedingen te vinden met betrekking tot gamer-accounts.
Logs voor grootschalige toegang
Onder de populairste producten bevinden zich de zogenaamde <em>logs</em> — databases met enorm veel gegevens voor het inloggen op accounts. In hun advertenties kunnen aanvallers de soorten gegevens, de geografie van de gebruikers, de periode gedurende welke de logs werden verzameld, en andere details specificeren. In de screenshot hieronder biedt een ondergronds forumlid bijvoorbeeld een archief aan met 65.600 gegevens, waarvan er 9.000 zijn gekoppeld aan gebruikers uit de VS, en 5.000 aan inwoners van India, Turkije en Canada. Het volledige archief kost $ 150 (ongeveer 0,2 dollarcent per gegevens).
Deze databases kunnen echter verouderde of zelfs nutteloze informatie bevatten, en daarom laten sommige verkopers kopers de logbestanden controleren om na te gaan of ze up-to-date zijn.
Gamer-accounts, games en inventarissen
Cybercriminelen verkopen ook toegang tot specifieke gaming-accounts, zowel individueel als op grote schaal. Het zal u niet verbazen dat accounts met veel games, add-ons en dure items bijzonder waardevol zijn. Cybercriminelen verkopen deze vaak met enorme kortingen.
Accountinhoud wordt ook verhandeld, en ook dit gebeurt tegen een fractie van de daadwerkelijke waarde. Op het dark web vindt u bijvoorbeeld <em>Need for Speed</em> en andere titels voor minder dan 50 dollarcent.
Ook in-game items worden verkocht.
Hoe u voorkomt dat u slachtoffer wordt van BloodyStealer en andere dieven
Dat games en in-game items worden verkocht is niet het enige probleem dat de eigenaar van een gestolen account te wachten staat. Cybercriminelen of kopers (voor het slachtoffer maakt het weinig verschil) kunnen het account gebruiken om geld wit te wassen, phishing-links te verspreiden en om andere illegale dingen te doen. Om niet ten prooi te vallen aan cybercriminelen, moet u ervoor zorgen dat uw accounts en apparaten beveiligd zijn.
- Bescherm uw accounts met sterke wachtwoorden, schakel tweestapsverificatie in en maximaliseer in het algemeen de beveiligingsinstellingen van het platform (bekijk onze gidsen voor Steam, net, Origin, Twitch en Discord).
- Download alleen apps van officiële bronnen om de kansen op het binnenhalen van BloodyStealer en andere malware te minimaliseren.
- Wees voorzichtig met links in e-mails en berichten van vreemden.
- Zorg er voordat u uw gegevens op een website invoert voor dat deze website echt is.
- Gebruik een betrouwbaar beveiligingssysteem. Kaspersky Security Cloud blokkeert BloodyStealer bijvoorbeeld en zorgt niet voor storingen tijdens het gamen.