Steam Stealer або троян, краде речі в Steam
.collapse">Зміст
Історія появи та поширення в рунеті
Загальна схема роботи:
З процесу «Стиму» регулярно видираються два cookie-записи SteamLogin і SteamLoginSecure:
Історія боротьби стиму з цим зловредом
Як я вже згадував вище, з клієнта парситься 2 куки, але для відправки оффера (пропозиція обміну речами зі зловмисником) достатньо було однієї з них (SteamLoginSecure). Фікс від Steam полягав у тому, що тепер потрібні були обидві. Як ви самі розумієте, «проблема» в роботі стилера була знайдена менше ніж за добу тими самими умільцями. Ну а ще через пару днів вже нова дійова особа (не я) виклала виправлений вихідний код у загальний доступ. (Втім, він зараз сильно лає цей свій вчинок).
Чесно кажучи, невідомо навіщо, але Steam вирішили додати 1 параметр на запит відправлення оффера:
А саме - параметр "serverid = 1". Навіщо він потрібен і для чого його додали треба питати у розробників «Стіма», але інших запитів, де він міг би використовувався, я не знаходив.
Хоча пояснити «ледачі» фікси від стиму досить просто.
За рахунок чого шахраї (і стім!) отримують прибуток?
Усі ігрові цінності, які одержують шахраї, продають за зниженою ціною на торговому майданчику. Тут я хочу нагадати, що Steam отримує 5% від усіх операцій на торговому майданчику. І 10% отримує розробник гри, айтем якої було продано. Враховуючи, що розробником найпопулярніших ігор з ітемами та сервісу Steam є компанія Valve, цілком логічно, що вони не будуть поспішати з фіксом, отримуючи ще 15% з кожного проданого ітему.
Далі шахраї різнимиспособами вже виводять гроші із «Стиму». Так як це зробити не можна, вони використовують для продажу цінності самого сервісу Steam. Наприклад, ключі чи ігри (наскільки мені відомо, вони отримують приблизно 50-65 центів із долара).
Що роблять у Steam у зв'язку з цими шахрайствами?
Ну і насамкінець. Найкращі антивіруси на даний момент щодо визначення таких програм - це Avira, Kaspersky, Eset Nod32. Вони визначають свіжі та досить пристойно обфусцовані/накриті версії трояна, втім, не завжди. Інші реагують досить довго. Навіть проста обфускація .Net програми бентежить більшість антивірусів.