Le succès et la politique interne de Steam rendent cette plateforme dédiée aux jeux vidéo très prisée des cybercriminels qui peuvent facilement en tirer d’importants revenus illicites en revendant des objets précieux ou de l’argent virtuel. Plus que tout autre e-menace, Valve craint les malwares du type “Steam Stealer”.
Depuis plus de 10 ans, Valve règne en maître du jeu vidéo avec sa plateforme internationale et incontournable Steam, utilisée par plus d’une centaine de millions de joueurs à travers le monde et sur une multitude de systèmes différents. Pourtant, plus de 77 000 comptes utilisateurs sont piratés et pillés chaque mois, une statistique loin d’être négligeable. Comme l’indique l’éditeur russe de solutions de sécurité Kaspersky, le secteur du jeu en ligne, qui représente un marché estimé à plus de 100 milliards de dollars, n’est pas seulement juteux pour les développeurs et les fabricants. Il l’est aussi pour les cybercriminels.
Comment pirater les comptes Steam ?
Les cybercriminels ont depuis longtemps compris l’attrait pour Steam et les gains potentiels qu’ils pouvaient en tirer en siphonnant en masse les comptes utilisateurs. Les piratages se font dans la majeure partie des cas via des malwares spécifiquement conçus, appelés “Steam Stealers“. Déclinés en plusieurs milliers de versions chaque année, et en vente sur des sites undergrounds spécialisés pour des prix allant de 30 à 500 dollars (les plus bas prix sont rendus possibles grâce au modèle MaaS (Malware as a Service), ils sont très prolifiques et redoutables. Les pertes sont considérables pour les joueurs et Valve qui est à la peine à y faire face…
Selon Santiago Pontiroli, chercheur chez Kaspersky Lab, et son confrère indépendant Bart P., le type de malware connu sous le nom de « Steam Stealer » est le principal acteur du piratage de nombreux comptes utilisateurs de la plate-forme phare de Valve (voir le rapport en PDF intitulé “STEAM STEALERS RESEARCH“).
Et ont comprend facilement l’engouement des pirates pour les Steam Stealer lorsque l’on se renseigne sur les prix de vente de l’argent virtuel ou de la multitude d’objets de valeur disponible sur la plateforme ! Dans le cas de Steam, les revenus pour les pirates sont nombreux, les comptes siphonnés étant vendus au marché noir à des petits tarifs après avoir été purgés de leurs objets de valeur. Ces même objets et argent virtuel seront revendus au prix fort sur la place de marché officielle de Steam, une sorte de gigantesque pied de nez à Valve donc, qui assiste impuissant à la mascarade. Auparavant exploité par les scripts kiddies, le piratage de compte Steam s’est industrialisé et fait le bonheur des cybercriminels endurcis qui en ont mesuré la valeur réelle.
« La communauté des joueurs est devenue une cible très prisée des cybercriminels. Une évolution claire des techniques d’infection et de propagation ainsi que la complexité croissante des malwares eux-mêmes ont conduit à une recrudescence de ce type d’activité. Alors que les consoles sont toujours plus puissantes et que l’Internet des objets est à notre porte, ce scénario va se développer et gagner en complexité. Kaspersky Lab espère que ses recherches vont déboucher sur des investigations constantes, apportant un équilibre qui fait aujourd’hui cruellement défaut dans l’écosystème du jeu. Les développeurs ne doivent pas envisager la sécurité a posteriori mais l’intégrer en amont dans le processus de développement des jeux. Nous sommes convaincus qu’une coopération avec l’ensemble des acteurs du secteur peut contribuer à améliorer cette situation. N’oubliez pas que les cybercriminels sont intéressés par le volume et si votre cas est trop compliqué, il passeront à la cible suivante. », souligne Santiago Pontiroli de l’équipe GReAT (Global Research & Analysis Team) de Kaspersky Lab.
Les objets virtuels ainsi « droppés » des comptes de joueurs peuvent valoir plusieurs centaines d’euros selon leur rareté (exemple d’une arme pour Counter Strike : Global Offensive). Une mine d’or donc pour les cybercriminels. Valve a répliqué avec le nouveau Steam Guard censé augmenté la sécurité des comptes utilisateurs, mais le système reste encore peu déployé.
Steam Stealer : Principe & fonctionnement
Les malwares de type Steam Stealer empruntent le concept bien connu de “password stealer” et l’applique au logiciel Steam. Ainsi, le but est d’infecter la machine d’un joueur par n’importe quel vecteur avec ce malware (de préférence indétectable par les antivirus) et de localiser puis d’extraire les précieux identifiants Steam stockés localement sous forme protégée.
Sa seule cible est donc Steam et sa mission est simple et rapide : extraire et transmettre à l’attaquant le nom d’utilisateur et le mot de passe de la victime. En résumé, c’est le fichier de configuration de Steam qui est directement visé (le fameux Steam KeyValue), et qui sera uploadé en intégralité vers un serveur détenu par le pirate. C’est en effet celui-ci qui contient les identifiants et les informations de session du compte de l’utilisateur. Une fois ce fichier crucial en main, le pirate peut utiliser des logiciels spécifiques en local pour le cracker et en extraire les données privées de connexion.
Chaque source différente de malware Steam Stealer exploite des librairies Steam différentes afin de minimiser la détection : Steamworks. NET, SteamKit, Steam4NET ou encore SteamBot.
Le monde entier est actuellement touché par les malwares de type Steam Stealer : la Russie (principal pays de création), l’Inde, le Brésil, les USA, et l’Europe. Concernant les vecteurs d’infection, tout est bon pour être tenté : phishing, spear phishing, pièces jointes malveillantes, fausses extensions Google Chrome, téléchargements divers infectés, ingénierie sociale, etc. Prudence donc aux joueurs ayant un compte Steam.
Pour se protéger, outre de surfer prudemment, une solution de sécurité à jour est un avantage réel ainsi que de bien suivre les recommandation de Steam en matière de sécurité. A noter que le pare-feu inclut par défaut dans Windows ne protège pas de ce type de menace car il sera facilement contourné…
Les commentaires sont fermés.