Эксперты из ГК «Солар» выявили активное использование хакерами платформы Steam для проведения кибератак. Об этом говорится в блоге ГК.
Специалисты центра исследования киберугроз Solar 4RAYS обнаружили, что злоумышленники создают учетные записи в Steam и включают в их описания данные о серверах управления вредоносным ПО. Такой подход позволяет вирусам обращаться к легитимным ресурсам вместо подозрительных IP-адресов, усложняя обнаружение и блокировку атак.
Такой метод называется Dead Drop Resolver. Он заключается в размещении информации о C&C-серверах на легитимных онлайн-платформах. Эти данные могут быть зашифрованы или представлены в открытом виде. После заражения системы вредоносное ПО обращается к этим ресурсам для получения адреса управляющего сервера.
Основными вредоносными программами, распространяемыми через Steam, являются стилеры — вирусы, крадущие пароли и конфиденциальную информацию. Однако данный метод может использоваться и для других типов вредоносного ПО. Помимо Steam, злоумышленники применяют платформы Pastebin, YouTube, Telegram и соцсеть X (ранее Twitter).
Техника Dead Drop Resolver позволяет хакерам создавать устойчивую инфраструктуру для C2-серверов, поскольку они могут обновлять информацию о доступных серверах в любое время. Запросы к легитимным ресурсам, таким как Steam, не вызывают подозрений в корпоративных сетях, что затрудняет обнаружение вредоносной активности. Вредоносные файлы не содержат явных указаний на командные серверы или конфигурацию ПО, что усложняет их выявление.
На данный момент через Steam активно распространяются стилеры, такие как MetaStealer, Vidar, Lumma и ACR, похищающие учетные данные, информацию браузеров, данные программ и процессов, переписки и данные криптокошельков. Эти атаки могут иметь серьезные последствия для компаний, особенно при несвоевременном обнаружении. Эксперты рекомендуют службам безопасности внимательно следить за подозрительными запросами к Steam из корпоративных сетей, что может свидетельствовать о наличии вредоносной активности.
