Геймеры в ловушке: вредоносные моды воруют крипту и пароли

Геймеры, стремящиеся к сверхспособностям или быстрой победе в любимых играх, часто обращаются к неофициальным модам и читам. Однако за заманчивым улучшением могут скрываться серьёзные опасности — эксперты предупреждают о распространении вредоносного ПО под видом якобы безобидных патчей. Новое семейство вредоносов под названием «Trojan.Scavenger», как выявили аналитики из Dr.Web, нацелено на пользователей Windows. Его маскируют под моды или читы для популярных игр, вроде Grand Theft Auto 5 и Oblivion Remastered. За фасадом ускорения и магических способностей скрывается программа, способная украсть ваши криптокошельки, пароли и фактически любую личную цифровую информацию.

Заражение начинается просто: игрок скачивает архив ZIP, который представлен как что-то улучшающее игру. Внутри — изменённая динамическая библиотека, скорее всего, с расширением .ASI, чтобы «сливаться» с форматом настоящих плагинов. Пользователь распаковывает это в папку игры — если игра не умеет правильно проверять загруженные файлы, троян загружается вместе с запуском. Особенно уязвимы игры, использующие устаревшую логику поиска библиотек.

Следующий шаг — троян связывается с сервером управления, общаясь на зашифрованном языке и сверяя ключи и отметки времени. Такая мера позволяет вредоносу обходить антивирусы и анализ на компьютере. Иногда первый вредонос — лишь верхушка айсберга: с его подачи загружается ещё больше вредных программ, в том числе предназначенных для внедрения прямо в браузеры семейства Chromium: Chrome, Edge, Opera, Яндекс.Браузер.

Внушительный список целей для кражи — расширения для популярных криптокошельков (MetaMask, Phantom), менеджеры паролей (Bitwarden, LastPass), а также кошелёк Exodus. Модифицированные расширения тихо собирают ваши мнемонические фразы, приватные ключи и другие аутентификационные данные, затем отсылают добытое на сервер злоумышленников.

Великолепен и креативен способ атаки: троян хитро извлекает важные данные «на лету», эксплуатируя особенности загрузки ламовых библиотек, в том числе JSON-объекты с пассфразами и seed-фразами.

Чтобы не стать жертвой цифровых варваров, эксперты советуют: остерегайтесь сомнительных сайтов, особенно форумов, торрентов и неофициальных каналов соцсетей, где делятся модами. Даже с антивирусом не забывайте обновлять базы, а для десктопа используйте максимально мощные решения. Не стоит ходить по тёмным геймерским углам интернете и скачивать всё подряд; уменьшайте количество привилегий у стандартных аккаунтов и проверяйте файлы перед установкой — цифровая осторожность выгоднее любой дополнительной жизни.