На официальных форумах развлекательной игровой платформы Steam появились сообщения о вредоносном файле .SCR, который распространяется через чат. Подписчики сервиса получали уведомления с безобидным на вид файлом изображения. Исследователи из ИБ-компании Malwarebytes проанализировали атаку и обнаружили, что в большинстве случаев киберпреступники распространяли вредоносный файл под видом некоего виртуального объекта, который им якобы требовалось обменять.
По словам специалиста ИБ-компании Panda Security Барта Блэйза (Bart Blaze), помимо вышеуказанной уловки, преступники также использовали сообщения с простым текстом “посмотри на мою фотографию”. Для того чтобы замаскировать ссылку, указывающую на вредоносный файл, мошенники использовали сервис сокращения URL Bit.ly. Данная ссылка вела на страницу Google Drive, на которой содержался файл .SCR с именем “IMG_211102014_17274511.scr”.
Как поясняет исследователь, обычно для загрузки файла .SCR необходимо приложение Google Drive Viewer, однако в этом случае к ссылке была добавлена строка “&confirm=no_antivirus”, что позволяло загружать его автоматически. Файл похищал учетную запись жертвы и использовал ее для дальнейшего распространения вредоносной ссылки. По словам Блэйза, вредоносный файл не передавал загруженные данные с инфицированного устройства на удаленный сервер.
Для удаления вредоносной программы необходимо осуществить выход из сервиса Steam и удалить процесс, связанный с вредоносным файлом из Диспетчера задач (процесс обычно называется “temp.exe”, “wrrrrrrrrrrrr.exe”, “vv.exe” или случайным именем “340943.exe”). Далее необходимо просканировать устройство на вирусы и изменить пароль учетной записи в Steam. (Malwarebytes/NovostIT)