В последние несколько дней пользователи Reddit и социальных сетей предупреждают друг друга о новой волне вредоносного спама, захлестнувшей платформу Steam.
Специалист Bleeping Computer Лоренс Абрамс (Lawrence Abrams) пишет, что для распространения малвари злоумышленники используют легитимные Steam-аккаунты, украденные у настоящих владельцев. Судя по всему, свою роль здесь сыграли многочисленные утечки данных, произошедшие в этом году. Так как многие пользователи используют один и тот же пароль для разных сервисов, подобрать пароль к чужому аккаунту Steam, особенно если пользователь не включил двухфакторную аутентификацию, не составляет большого труда.
Хакеры действуют по классической схеме. После захвата чужого аккаунта, злоумышленники начинают распространять вредоносный спам среди друзей жертвы, которые, не замечая подвоха, переходят по присланным ссылкам. Ссылки, замеченные в данной кампании, якобы ведут на сайт с видеороликами CS:GO, где пользователя просят установить Flash Player. Разумеется, вместо него на компьютер жертвы попадает малварь.
Лоренс Абрамс пишет, что вместо Flash Player пользователи скачивают исполняемый файл, который запускает скрипт PowerShell и устанавливает на машину NetSupport Manager Remote Control Software. Равно как и TeamViewer, NetSupport является легитимной программой для удаленного доступа. Но в данном случае ПО сконфигурировано таким образом, чтобы соединяться с сервером злоумышленников, по сути, передавая полный контроль над системой в руки атакующих.
Абрамс рекомендует пользователям Steam проверить свои компьютеры на предмет присутствия в %AppData% подозрительных директорий.
