Em março deste ano, nossos especialistas descobriram um anúncio em um fórum clandestino de um malware apelidado de BloodyStealer por seus criadores.
O anúncio afirma que rouba os seguintes dados de dispositivos infectados:
● Senhas, cookies, detalhes de cartão bancário, dados de preenchimento automático do navegador;
● Dados do dispositivo;
● Capturas de tela;
● Arquivos de cliente de desktop e uTorrent;
● Bethesda, Epic Games, GOG, Origin, Steam, Telegram e sessões de clientes VimeWorld;
● Histórico (logs).
O que nos surpreendeu foi que a maioria dos programas listados são relacionados a jogos, o que sugere que as contas de jogadores e seus conteúdos são procurados no mercado paralelo. Decidimos examinar detalhadamente quais riscos os jogadores enfrentam.
BloodyStealer conquista o mundo
Embora o BloodyStealer seja relativamente novo, já está viajando pelo mundo. De acordo com nossas análises, o malware atingiu usuários na Europa, América Latina e região da Ásia-Pacífico – o que não é tão surpreendente dado seu modelo de distribuição de malware como serviço (malware as a service ou MaaS), o que significa que qualquer um pode comprá-lo – o preço é bastante baixo (cerca de U$ 10 por mês ou cerca de U$ 40 para uma “licença vitalícia”).
Além de suas funções de roubo, o malware possui um conjunto de ferramentas destinadas a impedir a análise (leia mais). Ele envia informações roubadas como um arquivo ZIP para o servidor C&C, protegido contra DDoS e outros ataques da web. Os cibercriminosos usam o painel de controle (bastante básico) ou o Telegram para obter os dados, incluindo contas de jogadores.
E não é só o BloodyStealer
O BloodyStealer é apenas uma das muitas ferramentas disponíveis na dark web para roubar contas de jogadores. Os cibercriminosos vendem outros tipos de malware, muitos dos quais estão no mercado há mais tempo que o BloodyStealer. Além disso, os fóruns clandestinos costumam apresentar anúncios que oferecem a publicação de um link malicioso em um site popular ou ferramentas de venda para gerar páginas de phishing automaticamente.
Com a ajuda dessas ferramentas, os cibercriminosos podem coletar e tentar monetizar uma grande quantidade de credenciais. Todos os tipos de ofertas relacionadas a contas de jogadores podem ser encontrados na dark web.
Registros para acesso vendidos em grande escala
Entre os produtos mais populares estão os chamados logs – bancos de dados contendo montantes expressivos de dados para login em contas. Em seus anúncios, os invasores podem especificar os tipos de informações, a localização dos usuários, o período durante o qual os logs foram coletados e outros detalhes. Por exemplo, na captura de tela abaixo, um membro do fórum clandestino oferece um arquivo com 65.600 registros, dos quais 9.000 estão vinculados a usuários dos Estados Unidos e 5.000 a residentes da Índia, Turquia e Canadá. O arquivo inteiro custa U$ 150 (cerca de 0,2 centavos por registro).
Dito isso, esses bancos de dados podem conter informações desatualizadas ou até mesmo inúteis e, portanto, alguns vendedores permitem que os compradores verifiquem os logs para confirmar se estão atualizados.
Contas de jogadores, jogos e inventário
Os cibercriminosos também vendem acesso às credenciais de jogos, tanto individualmente quanto em grande escala. Sem surpresa, contas com muitos jogos, add-ons e itens caros têm um valor especial. Normalmente, os golpistas os vendem com grandes descontos.
O conteúdo da conta também é negociado, novamente por uma fração de seu valor real. Na dark web, por exemplo, você pode encontrar Need for Speed e outros títulos vendidos por menos de 50 centavos.
Como evitar ser vítima do BloodyStealer e outros golpes
Ter jogos e itens dentro do jogo vendidos não é o único problema que aguarda o dono de uma conta roubada. Os cibercriminosos ou compradores (faz pouca diferença para a vítima) podem usar a conta para lavar dinheiro, distribuir links de phishing e fazer outras coisas ilegais. Para evitar ser vítima de cibercriminosos, certifique-se de que suas contas e dispositivos estejam seguros.
● Proteja suas contas com senhas fortes, habilite a autenticação de dois fatores e, de maneira geral, otimize as configurações de segurança da plataforma (consulte nossos guias para usuários do Steam, Battle.net, Origin, Twitch e Discord).
● Baixe aplicativos apenas de fontes oficiais para minimizar as chances de pegar o BloodyStealer ou outro malware.
● Desconfie de links em e-mails e mensagens de estranhos.
● Antes de inserir suas credenciais em qualquer site, certifique-se de que o site é verídico.
● Use uma solução de segurança confiável. Por exemplo, Kaspersky Security Cloud que bloqueia o BloodyStealer e não interfere na jogabilidade.