Хакеры заражают геймеров по всему миру через читы с GitHub
изображение: recraft
Исследователи Acronis TRU обнаружили масштабную кампанию по заражению геймеров через фальшивые читы для популярных онлайн-игр. Вредоносный софт распространялся через сотни репозиториев на GitHub, а реальный масштаб может быть куда больше — возможно, тысячи страниц с заражёнными загрузками.
Главный инструмент кампании — Vidar Stealer 2.0, новая версия хорошо известного похитителя данных. Acronis называет эту кампанию его первым массовым появлением в реальных атаках. Рост активности Vidar 2.0 исследователи объясняют просто — по другим популярным стилерам вроде Lumma и Rhadamanthys в последнее время серьёзно ударили правоохранители, и освободившуюся нишу быстро занял именно Vidar.
Схема заражения выстроена с расчётом. Пользователя заманивают обещанием бесплатного чита, прячут ссылку за красивыми картинками и ведут через несколько промежуточных сайтов — чтобы автоматические системы защиты не смогли отследить цепочку заражения целиком.
Площадками для приманки служат GitHub и Reddit, что добавляет всему происходящему видимость привычного и безопасного.
Геймеры выбраны в качестве мишени не случайно. Acronis прямо говорит — они чаще других готовы скачивать сторонний софт, игнорировать предупреждения антивирусов и запускать программы сомнительного происхождения, если те обещают преимущества в игре. Вдобавок игровые аккаунты сегодня стоят реальных денег — из-за скинов, внутриигровых предметов и привязанных платёжных данных.
Vidar 2.0 заметно опаснее предыдущих версий. По данным Acronis и Trend Micro, он получил многопоточную архитектуру, стал быстрее собирать данные и активнее использует полиморфные сборки — из-за этого антивирусам сложнее поймать его по сигнатурам. Вредонос охотится за логинами, cookies, данными автозаполнения, криптокошельками, Azure-токенами, учётными данными Telegram, Discord, FTP и SSH. Помимо этого, он делает скриншот рабочего стола и проверяет, не запущен ли он в
