Řada počítačových her nabízí uživatelům možnost změnit herní vzhled nebo chování prostřednictvím tzv. modů, neboli balíčků modifikací. Hráči mohou mody také sami vytvářet a sdílet mezi sebou. To ale představuje příležitost pro kyberútočníky, jak šířit malware. Výzkumníci FortiGuard Labs varují před škodlivým kódem zEus stealer, který se šíří prostřednictvím zdrojového balíčku k populární hře Minecraft.
Inkriminovaný balíček modifikací ke hře Minecraft se šíří prostřednictvím YouTube a obsahuje batch stealer, tedy malware, který má za úkol shromažďovat citlivá data ze zařízení, do kterého pronikne, a předávat je dále.
Když oběť spustí zEus stealer, malware nejprve zkontroluje, zda je analyzován. Porovná název počítače a aktuálně spuštěných programů s blacklisty. Pokud zjistí, že není, začne shromažďovat citlivé informace a vypouštět soubory skriptů, aby byl útok flexibilnější. Pro ukradená data a škodlivé skriptové soubory vytváří zEus stealer složky v C:\ProgramData. Názvy složek odpovídají povaze shromažďovaných informací, tedy například PCINFO, IPINFO, HARDWARE, nebo BROWSERS.
„zEus stealer zachycuje širokou škálu informací, od přihlašovacích údajů, přes cookies a historii prohlížečů, až po detaily spojené s IP adresou a samotným hardware počítače, jako je seznam programů, lokalita uživatele, typ připojení či heslo k wifi. Útočníci ale shromažďují také informace o oběti, respektive jejích herních preferencích. Díky tomu získají potřebné know-how pro další útok,“ vysvětluje průběh útoku Ondřej Šťáhlavský, regionální ředitel společnosti Fortinet pro střední a východní Evropu.
Výsledek útoku pak zEus odešle svému autorovi spolu s ukradenými daty. Zpráva pro útočníka tedy obsahuje datum útoku, jméno uživatele, název počítače, procesor, antivirový software, obsah schránky, nainstalované hry XBOX, kryptoměny a citlivé soubory.
„Tento útok má poměrně jednoduchý průběh, ale shromažďuje širokou škálu informací, které poskytují data pro další útok a přispívají k sociálnímu inženýrství. Stahování a používání souborů z neznámého zdroje s sebou nese vždy riziko, proto je vhodné používat soubory pouze z důvěryhodných zdrojů a využívat recenze pro daný soubor i samotného autora,“ doplňuje Ondřej Šťáhlavský, regionální ředitel společnosti Fortinet pro střední a východní Evropu.