Эксперт компании Panda Security выявил новую угрозу, нацеленную на пользователей Steam. Опасными признаны четыре расширения для браузера Chrome, якобы призванные облегчить жизнь всем тем, кто торгует предметами CS:GO (Counter Strike Global Offensive). На деле эти расширения обчистят Steam-инвентарь жертвы, переправив все предметы скаммерам.

Проблему обнаружил сотрудник Panda Security Барт Блейз (Bart Blaze), ознакомившись с расследованием, которое самостоятельно провели пользователи форумов TeamFortress.tv. Пользователи обратили внимание, что ранее уже попадавшийся на мошенничестве юзер Extrence (публичное имя BeerBear) теперь работает с другого аккаунта — MetrixTf2 (текущее публичное имя Delta) и затевает что-то нехорошее. Достаточно зайти в Steam-профиль MetrixTf2, чтобы убедиться, что опасения пользователей были небеспочвенны. Он имеет бан в торговой системе Steam, а его репутация на специализированном ресурсе SteamRep и того хуже.

Capture4

Выяснилось, что скаммер разработал четыре «полезных» расширения для браузера Chrome, которые на деле оказались малварью. Барт Блейз выявил в Chrome Web Store следующие вредоносные аддоны, добавленные пользователем Double Script:

  • CSGODouble Theme Changer;
  • CS:GO Double Withdraw Helper;
  • Csgodouble AutoGambling Bot;
  • Improved CSGODouble.

Эти «полезные» расширения тесно работают со Steam API и веб-сайтом Steam, оперируют скрытыми JavaScript-командами и инициируют несанкционированную передачу предметов из инвентаря жертвы злоумышленнику.

csgo5

Форма атаки выбрана не совсем обычная, но от расширений избавиться проще, чем от обычных декстоп-вредоносов – достаточно удалить их из списка аддонов в браузере, что полностью ликвидирует заражение. На данный момент все четыре расширения уже изъяты из Chrome Web Store, а ссылки на них (еще до удаления из магазина) были добавлены в черный список Steam.

Согласно сообщениям на форумах TeamFortress.tv, от этой атаки, длившейся чуть меньше месяца, успело пострадать немало пользователей. Все же компания Valve недаром закручивает гайки торговых механизмов Steam, вынуждая пользователей использовать двухфакторную аутентификацию. Если пользователь не активировал двухфакторную аутентификацию, все предметы, которые он передаст другим пользователям, будут удерживаться на срок «до трех дней». Предполагается, что за это время можно успеть обнаружить и предотвратить кражу.

Фото: pixabay.com



3 комментария

  1. Fatalizator

    21.01.2016 at 12:17

    Поначалу весьма удивился, какие теневые механизмы Steam API могут быть задействованы, чтобы обойти все защиты при обмене. Напомню, что включенный Steam Guard как минимум предполагает подтверждение каждой операции кодом, высылаемым на электронную почту, а при двухфакторной авторизации – кодом из мобильного приложения. Также в профиле Steam Guard может быть отключен, но этого опять-таки не сделать без соответствующего подтверждения. Кроме сказанного, для защиты от мошенничества во всех случаях, кроме двухфакторной авторизации, всякая сделка откладывается на 72 часа.
    Оригинальная статья все разъясняет: instead of trading with X or Y person you trust, the items go to the scammer rather than whoever you’re trading with. Т.е. плагин не ворует весь ваш инвентарь, а лишь перенаправляет авторизованные вами же операции на мошенника. Занятно, что для данной ситуации пользователям с двухфакторной авторизацией не остается шансов, т.к. отсутствует временной лаг в 72 часа на отмену операции. Поэтому пресловутый мобильный аутентификатор Steam в данном случае будет скорее злом, чем благом.

    • ShadowHD

      22.01.2016 at 12:36

      Какой странный первый абзац. До этого всегда казалось, что Guard предполагает подтверждение исключительно одной операции — вход в систему. Нигде больше он еще пока не срабатывал.

  2. Evang

    23.01.2016 at 11:33

    Ха-ха! Какие игры, такие и игроки. Засрали новую контру всякой фигнёй, в итоге большинство в неё не играет, а просто держит в фоне, чтоб им это г… выпадало.

    Они своими гайками в основном нормальных людей прикручивают, а не этих мудаков. Если кого-то засоциально-инженерили, то он сам виноват и эти гайки ему не помогут, потому что он уже всё подтвердил.
    Если кто-то использует скрипты, это тоже его проблемы. В соглашении Стима явно написано, что использование любых средств автоматизации на торговой площадке запрещено, так что надо не гайки бесполезные закручивать, а просто банить и тех, и других.

Оставить мнение