Експерти з кібербезпеки виявили тривожну тенденцію: зловмисники активно використовують популярну ігрову платформу Steam для організації та координації своїх атак. Ця нова тактика, відома як Dead Drop Resolver, дозволяє хакерам ефективно приховувати свою шкідливу діяльність за фасадом легітимного ресурсу, створюючи серйозну загрозу для користувачів та організацій.
Механізм роботи Dead Drop Resolver
Суть методу Dead Drop Resolver полягає у розміщенні інформації про командно-контрольні сервери (C2) на легальних онлайн-платформах. У випадку зі Steam, кіберзлочинці створюють звичайні користувацькі акаунти і приховують критично важливі дані в описах профілів або коментарях. Після зараження цільової системи, шкідливе програмне забезпечення звертається до цих, здавалося б, нешкідливих профілів для отримання інструкцій та адрес C2-серверів.
Переваги для зловмисників та ризики для користувачів
Використання Steam як посередника надає хакерам ряд суттєвих переваг:
- Ускладнення виявлення шкідливої активності, оскільки трафік йде до легітимного ресурсу
- Можливість швидкого оновлення інформації про C2-сервери без привернення уваги
- Відсутність прямих вказівок на шкідливу інфраструктуру у файлах, що заражають системи жертв
Ці фактори значно ускладнюють виявлення та протидію кібератакам, що використовують Dead Drop Resolver, підвищуючи ризики для користувачів та організацій.
Поширені типи шкідливого ПЗ, що використовують Steam
За даними дослідників, через Steam наразі поширюються переважно інфостилери – шкідливі програми, націлені на крадіжку конфіденційної інформації. Найбільш активно використовуються такі варіанти:
- MetaStealer – новітній інфостилер з розширеними можливостями
- Vidar – відомий своєю гнучкістю та постійними оновленнями
- Lumma – спеціалізується на крадіжці криптовалютних гаманців
- ACR – багатофункціональний інфостилер з можливостями віддаленого доступу
Еволюція тактики Dead Drop Resolver
Перші згадки про використання Steam для поширення інформації про C2-сервери датуються січнем 2023 року. Однак активне впровадження цієї тактики почалося приблизно з березня 2024 року, коли розробники інфостилера Vidar заявили про “тестовий режим” використання “прокладок cloudflare + steam”.
Удосконалення методів маскування
Новітні версії шкідливого ПЗ, такі як MetaStealer, пішли ще далі, почавши використовувати секцію коментарів у профілях Steam. Це дозволяє ще краще маскувати шкідливу активність і полегшує видалення слідів без збереження історії змін, що суттєво ускладнює роботу фахівців з кібербезпеки.
Рекомендації щодо захисту від атак через Steam
Для протидії цій загрозі фахівці з кібербезпеки рекомендують:
- Посилити моніторинг мережевого трафіку, звертаючи особливу увагу на незвичні патерни звернень до Steam
- Впровадити системи поведінкового аналізу для виявлення підозрілої активності
- Регулярно оновлювати антивірусне ПЗ та системи виявлення вторгнень
- Проводити навчання співробітників з питань інформаційної безпеки, акцентуючи увагу на нових методах атак
Використання популярних онлайн-платформ як інструменту для кібератак – тривожний тренд, що вимагає пильної уваги як з боку фахівців з безпеки, так і звичайних користувачів. Важливо пам’ятати, що навіть легітимні ресурси можуть бути використані зловмисниками у своїх цілях, і завжди дотримуватися базових правил цифрової гігієни. Постійна пильність, регулярне оновлення систем безпеки та підвищення обізнаності користувачів залишаються ключовими факторами у протидії новітнім кіберзагрозам.
