Недавний взлом сайта Discord.io показал, что игровое сообщество становится всё более привлекательной мишенью, поскольку оно часто использует высокопроизводительные ПК и имеет “ресурсы” для кражи. Большинство вредоносных программ нацелены на Windows, распространение которых, в данном случае, происходит через Discord. При заражении ПК может потребоваться форматирование диска и переустановки операционной системы, пишут исследователи DomainTools.
В случае взлома Discord.io злоумышленники могут изучить список учётных записей и сообществ, чтобы определить возможные цели для заражения.
“Одним щелчком мыши компьютер геймера будет полностью скомпрометирован, как правило, с помощью программы для кражи информации (info stealer), но также может быть “закинут” троян для удалённого доступа, криптомайнер или другое вредоносное ПО”, – предупреждают исследователи.
В этом случае пользователям не следует тратить время на попытки очистить вредоносное ПО с помощью “хорошего” программного обеспечения.
Иногда единственным выходом является – “nuke and pave”, – говорит Шон Макни, вице-президент по исследованиям и данным компании DomainTools.
Nuke and Pave
Сленг. Радикальное решение по борьбе с вредоносным ПО. Форматирование жёсткого диска и установка с “нуля” операционной системы и всего программного обеспечения.
Nuke and Pave - решение проблемы?
Вредоносные программы часто глубоко проникают в систему, скрываются от наблюдения и могут включать защитные механизмы против несанкционированного доступа.
“Как бы вы ни старались очистить зараженную систему с помощью антивирусного ПО, вы никогда не можете быть полностью уверены в том, что система действительно очищена от вредоносного ПО. Можно регулярно запускать несколько антивирусных продуктов, каждый из которых с триумфом сообщит, что “ничего вредоносного не обнаружено”, а в итоге система всё равно демонстрирует неоспоримые симптомы заражения, проявляющиеся в её нестабильной работе и “неадекватном поведении”, – отмечают исследователи.
“Вы собираетесь попробовать “продезинфицировать” свою систему (хотя мы все прекрасно понимаем, что это не сработает)”, – пишут исследователи DomainTools.
По словам специалистов, пользователь должен понимать различия между разными типами вредоносного ПО. Это может быть бот, червь, backdoor, троян, руткит, потенциально нежелательная программа, adware, crimeware, ransomware, spyware, и т.д. От этого зависит, какой тип инструмента очистки потребуется.
“Вы должны “выбрать правильный инструмент для работы” и “убедиться, что все нужные опции установлены”. Многие производители антивирусов не предоставляют комплексного подхода к поиску и очистке всех типов вредоносных программ с помощью одного инструмента”, – предупреждают исследователи.
Кроме того, пользователи должны сканировать все тома (разделы) своей системы. Но и в этом случае нет никаких гарантий. Например, даже если антивирусный продукт заявляет, что компьютер чист, рекомендуется проверить его с помощью других инструментов.
Инструменты
- Kaspersky Virus Removal Tool
- Dr.Web CureIt!
- Emsisoft Emergency Kit
- Malwarebytes Anti-Malware Free
- Malwarebytes AdwCleaner
и масса других инструментов.
“На образце ПК, заражённого вредоносным ПО Discord, ADW обнаружил и пометил, но не удалил три записи реестра”, – отмечают исследователи.
Авторы вредоносного ПО хорошо известны своими манипуляциями с записями реестра. Проблемные или скрытые параметры в реестре могут быть глубоко запрятаны, и их трудно исправить. Например, вредоносная программа, перехватывающая поиск, может изменить поисковую систему браузера на рекламную страницу сайта, URL фишингого сайта или малоизвестный поисковик.
Другие вредоносные программы могут скрываться в расширениях браузера (новость на эту тему), которые могут сканироваться или не сканироваться антивирусным программным обеспечением и которые могут автоматически запускаться и работать в фоновом режиме. Создатели вредоносного ПО постоянно ищут новые способы достижения “живучести” на заражённых системах.
Почему геймеры и почему Discord?
Злоумышленники провели анализ затрат и выгод, и геймеры занимают одно из первых мест в их списке.
Во-первых, игровые компьютеры обычно мощнее, чем неигровые, и, как правило, имеют высококлассное сетевое подключение. Если атака требует одинаковых усилий, злоумышленники будут использовать более быстрые системы для установки своих крипто-майнеров, центров управления или других вариантов монетизации.
Игровые компьютеры часто остаются незащищёнными, поскольку антивирусное ПО может “тормозить систему”
Во-вторых, Discord – это ориентированный на геймеров сервис обмена сообщениями, бесплатный и популярный, с более чем 150 млн. активных пользователей. Обмен сообщениями шифруется, поэтому трафик скрыт от средств сетевого мониторинга и обнаружения атак. Пользователи Discord обладают активами, которые могут быть монетизированы злоумышленниками.
Компания Sophos охарактеризовала Discord как “опасное место” и “[…] “свалку” для вредоносного ПО”. И даже для вредоносного ПО, не размещённого на Discord, Discord API является благодатной почвой для вредоносных командно-контрольных сетевых возможностей, которые скрываются в защищённом сетевом трафике Discord”.
Популярным стилем атак является “новая игра”, когда товарищ по команде или кто-то другой просит попробовать новое программное обеспечение, которое, к удивлению, оказывается вредоносным ПО. При этом используются скомпрометированные учётные записи.
Материалы: Сybernews.com (Ernestas Naprys)