Inscriptions | Discussions | Enquêtes | Plan du Site




Toutes les Menaces

Virus

Hackers

Spams
Whole site    Viruses
  
Encyclopédie Virus
Alertes
Analyses
Actualité
Glossaire

 
Archive

<< 2010  
Jan Feb  
     
     
     
Les Analyses les plus Populaires

Cyber insolite 09.2009



Les fonctionnalités des rootkit et comment les contrer



Usines à profits



Botnet Business



Brésil, terre fertile pour les bankers
 
 

  Home / Analyses

La fraude dans les jeux en ligne, ou comment prendre les joueurs à l'hameçon

10.09.2007   |   comment

Sergueï Golovanov
Senior Malware Analyst

Tout le monde aime jouer. Certains font du sport, d'autres risquent de l'argent et pour d'autres, la vie est un jeu. Les jeux d'ordinateur font désormais partie de notre quotidien, avec des millions d'utilisateurs. Certains préfèrent Tetris, d'autres choisissent Counter Strike, mais tous y prennent le même plaisir.

Le développement d'Internet a donné naissance à un nouveau type de jeux d'ordinateur : il est possible de participer depuis n'importe quel ordinateur, avec des milliers — parfois des dizaines de milliers — de joueurs tout autour du monde. Dans l'univers du MMMORPG (de l'anglais Massive Multiplayer Online Role Playing Game), habituellement désigné « jeu en ligne », des utilisateurs se rencontrent, se lient d'amitié, combattent côte à côte, abattent des monstres, affrontent leur destinée virtuelle — et jouent sans cesse, encore et toujours...

Mais dans cet univers tout n'est pas aussi beau et les démons virtuels prennent pied dans la réalité. Les utilisateurs de jeux en ligne sont bien réels et, parmi les joueurs, on rencontre aussi des voleurs et des faussaires qui gagnent de l'argent en s'attaquant à la propriété virtuelle d'autres personnes.

Dans cet article nous essaierons d'expliquer comment des mots de passe ou des biens virtuels peuvent être volés sur les MMORPG, et comment ces actes malveillants sont perpétrés contre les joueurs.



Les jeux

Le principe des jeux en ligne est l'exploration de mondes virtuels magnifiques dans lesquels il faut accomplir certaines tâches — appelées des « quests » autrement dit des quêtes. Les quests permettent aux joueurs d'obtenir de l'argent, des objets de valeur et de l'expérience plutôt que des points, comme c'était le cas dans les jeux d'ordinateur plus anciens. Ces richesses virtuelles, conquises au prix du sang, de la sueur et des larmes d'un personnage, peuvent alors être échangées contre d'autres objets de valeur dans d'autres jeux. Ces attributs sont utilisés à leur tour pour accomplir des quests encore plus difficiles, pour gagner d'avantage d'argent ou simplement pour permettre à son personnage de poursuivre son exploration — car dans les jeux en ligne, la partie ne se termine jamais.


Scène de bataille du jeu en ligne Lineage 2
(www.lineage2.com)

Les jeux en ligne suivent des règles déterminées par les développeurs et les administrateurs des serveurs de jeux. Ces personnes investissent du temps et de l'argent afin de créer et maintenir ces univers virtuels, car c'est ainsi qu'ils gagnent leur vie.


Monica Almeida / The New York Times
Service d'assistance de Blizzard, développeur du jeu World of Warcraft
(www.nytimes.com)

Les programmes de jeux sont vendus dans le commerce ou téléchargeables depuis Internet, mais pour pouvoir participer en ligne, il faut la plupart du temps souscrire un abonnement mensuel payant. L'abonnement mensuel couvre les frais de trafic, la maintenance des serveurs, la création de nouveaux mondes virtuels et de nouveaux objets destinés aux joueurs (épées, javelots, navires, etc.). Les joueurs peuvent « vivre » pendant des années dans ces mondes virtuels qui grandissent sans cesse et sont toujours en constante et rapide évolution.

Le piratage

Le monde des jeux en ligne change très vite : on assiste tous les ans au lancement de nouveaux titres et l'armée de joueurs grandit sans cesse. Presque immédiatement après le lancement d'un nouveau jeu sous licence légale, des serveurs pirates (ou crapuleux) commencent à surgir. Ces serveurs pirates proposent des versions gratuites des mondes normalement distribués sous licence payante.


Lancement commercial de World of Warcraft en Europe
(www.worldofwarcraft.com)

recherche dans Google contenant « private game server » renvoyait environ 10,8 millions de réponses, et ce nombre est en constante augmentation. C'est ainsi qu'on pourra retrouver sur des centaines de milliers de serveurs pirates n'importe quel jeu en ligne à succès. Le nombre élevé des réponses s'explique par la forte pression des joueurs qui veulent économiser leur argent ou qui en manquent tout simplement, comme c’est souvent le cas chez les adolescents ou les étudiants. La tentation est très forte : pourquoi payer l'abonnement mensuel d'un serveur légal, alors qu'un serveur pirate propose gratuitement le même jeu en ligne, les frais de communication restant seuls à charge ? Mais la réalité se révèle bien différente...

En effet, l'ouverture d'un serveur pirate n'est pas non plus une tâche facile. Il faut prendre en charge l'administration et la maintenance des serveurs, ce qui implique au minimum de couvrir les coûts de trafic. Pourquoi tant d'efforts de la part des pirates ? La réponse est simple : parce que les administrateurs de serveurs pirates proposent des objets de valeur en échange d'argent réel. Comparée aux coûts de location des équipements et des administrateurs, la vente d'objets virtuels rapporte en effet des sommes énormes.

La qualité des jeux sur les serveurs pirates est de loin inférieure à celle des serveurs légaux, ce qui pose un certain nombre de problèmes pour les joueurs. Erreurs, dysfonctionnements, déconnexions intempestives — tous ces facteurs ralentissent le déroulement de l'action et finissent par gâcher tout le plaisir du jeu. Peu importe que le joueur soit un maître ou simplement un bon ou un mauvais joueur... Tôt ou tard, il finira par se dire que cela fait trop longtemps qu'il reste toujours sur le même niveau de jeu. C'est alors que l'utilisateur du serveur pirate contacte l'administrateur qui, de son côté, se trouve prêt à lui vendre des objets de valeur nécessaires pour jouer, contre de l'argent réel. Les serveurs pirates disposent souvent de catalogues avec tout un éventail de biens et services payants.

La vente d'objets virtuels contre de l'argent existe partout où le règlement du serveur (légal ou crapuleux) autorise ces ventes, que ce soit sur le site du serveur, ou dans le déroulement du jeu lui-même.

Le vol

Bien entendu, les administrateurs des serveurs ne sont pas les seuls à commercialiser des objets de valeur. Les joueurs eux-mêmes peuvent le faire aussi. Et ils ne s'en privent pas. Certes, ce type de « pratique commerciale » peut avoir été interdit sur le serveur, en particulier dans le cas d'un serveur crapuleux, puisque ses responsables n'en retirent aucun profit. Cependant, l'interdiction de ces pratiques ne suffit pas pour empêcher les joueurs de faire des affaires. Certains utilisateurs peuvent s'asseoir devant leur écran, jouer, obtenir un objet de valeur virtuel puis l'offrir à d'autres utilisateurs en échange d'argent réel.

Il s'avère que l'univers des jeux en ligne est étonnamment lucratif. Il existe déjà des sites où les joueurs peuvent connaître le prix de l'argent virtuel utilisé sur les serveurs officiels. Bien souvent, il s'agit de ventes illégales et la presque totalité des jeux répertoriés sur ce site mettent en garde les joueurs contre l'utilisation d'argent réel pour vendre les objets qu'ils possèdent dans le jeu.

Le fait est que tout objet de valeur, dans un jeu en ligne, peut aussi avoir un prix dans le monde réel. C'est alors, quand la demande augmente, que le vol des biens virtuels trouve sa raison d'être. Mais comment cela fonctionne-t-il ? On s'en doute, la méthode est vraiment simple pour peu que les connaissances en la matière soient suffisantes.

Le système d'authentification des utilisateurs (qui vérifie leur identité) de la plupart des serveurs de jeux en ligne repose sur la saisie d'un mot de passe. Quand un joueur veut se connecter à un serveur, il doit donc saisir son mot de passe. Une fois authentifié, l'utilisateur peut accéder au serveur et reste totalement libre d'agir à l'intérieur du jeu. Si un utilisateur malveillant connaît le mot de passe de quelqu'un d'autre, il peut facilement voler les objets de sa victime pour les revendre.

Les objets volés sont vendus aux enchères (sur des sites comme ebay.com), sur des forums, ou peuvent être revendus à d'autres utilisateurs contre de l'argent virtuel ou réel. Une autre pratique consiste également à réclamer une rançon pour la restitution des objets volés. Aussi affligeant que cela puisse paraître, dans l'univers des jeux en ligne, il arrive que des joueurs se fassent racketter par des utilisateurs malveillants.


Personnages en vente sur Ebay

Le rachat de biens volés est, bien entendu, condamné par le règlement des serveurs. Les abonnés de serveurs légaux savent qu'en cas d'incident, les administrateurs réagiront en leur faveur. Un joueur peut remplir une demande ou une réclamation à tout moment, qui sera traitée aussi vite que possible pour leur permettre de continuer le jeu.

Les serveurs pirates — dont le nombre dépasse largement celui des serveurs officiels — sont un cas à part. Dans la mesure où les joueurs ne paient pas de service d'assistance, les administrateurs n'ont pas à prendre en charge leurs problèmes. Les victimes n'ont pratiquement aucune possibilité de prouver qu'elles ne sont pas responsables de la disparition de leurs biens pendant le déroulement du jeu. La preuve du vol d'un mot de passe est normalement ignorée, avec l'argument qu'il est possible de falsifier pratiquement n'importe quelle conversation, ou de retoucher les captures d'écran. Par ailleurs, il est possible de fabriquer de fausses preuves pour accuser un joueur innocent d'avoir harcelé son opposant et provoquer son expulsion immédiate du jeu. Par exemple, des pénalités sont prévues si un joueur utilise un langage inapproprié, ce qui peut conduire à son expulsion pendant plusieurs jours. Il arrive même que des escrocs demandent une rançon en faisant croire à leur victime que leurs biens virtuels ont été volés. Les administrateurs de serveurs pirates n'ont aucun moyen de faire face à ces problèmes, si tant est qu'ils le souhaitent vraiment.

En somme, les utilisateurs malveillants savent qu'ils ne seront pas inquiétés outre mesure sur les serveurs pirates, et que dans la majorité des cas, leurs agissements resteront sans suite. Sur les serveurs officiels, la situation est bien meilleure. Les joueurs impliqués dans des vols verront leurs comptes clôturés avec, dans certains cas, l'interdiction de leur adresse IP.

En résumé, le vol des mots de passe est un problème sérieux dans l'univers des jeux en ligne. Chaque joueur peut devenir la proie d'utilisateurs malveillants.


Message très courant sur les forums de jeux en ligne …

Le vol des mots de passe dans les jeux en ligne

En règle générale, les utilisateurs malveillants ne pourchassent que le nom d'utilisateur et le mot de passe de leur victime, et non l'adresse du serveur de jeu. Un utilisateur malveillant sait déjà sur quel serveur joue sa victime, car il joue lui-même le plus souvent sur le même serveur. Ce type de vols se produit aussi bien sur les serveurs pirates que sur les serveurs officiels, bien que les utilisateurs de serveurs pirates risquent davantage de perdre leurs biens.

Nous allons passer en revue quelques unes des méthodes utilisées par les cyber-délinquants pour dérober des mots de passe.

Ingénierie sociale

Cette méthode de cyber-délinquance consiste à entrer dans un jeu ou dans le forum d'un serveur de jeux afin de proposer à d'autres utilisateurs un bonus, ou de l'aide, en échange de leurs mots de passe. Le cyber-délinquant qui fait une telle offre n'est pas le naïf qu'on pourrait croire. Les véritables naïfs sont en fait les joueurs qui, dans l'espoir d'améliorer leur niveau de jeu, répondent favorablement à de telles avances. Quand le chasseur a récupéré le mot de passe, son but est atteint et il abandonne sa victime.

Une autre méthode d'ingénierie sociale est l'hameçonnage (« phishing » en anglais) : un cyber-délinquant supplante l'identité des administrateurs du serveur et invite les joueurs à venir s'authentifier sur un site dont le lien figure dans le message qu'il leur envoie. Voici un exemple de ce type de tactique.


Exemple d'hameçonnage : les liens renvoient à la page
du site frauduleux http://lineage2***.ru
(forum.lineage2.su)

« Bonjour,

Vous venez de recevoir ce message car vous êtes un utilisateur enregistré de notre serveur (www.Lineage2.su). Le nombre d’utilisateurs de notre serveur ayant brusquement augmenté le mois dernier, nous sommes dans l’obligation de mettre à jour nos bases de données (les comptes utilisateurs inactifs)

Afin de confirmer que votre compte est actif et que vous jouez sur notre serveur merci de vous identifier sur cette page :

* * * * * *

Si vous ne vous identifiez pas dans les 48 heures à partir de la date de réception de ce message – votre compte sera supprimé sans possibilité de restauration possible.

Cordialement,

Administrateurs Lineage2.su »


Message de l’administration concernant une attaque
de phishing vers des joueurs
(eu.plaync.com)

Même si ces pratiques sont relativement efficaces et faciles à exécuter, elles ne profitent pas beaucoup aux escrocs, car les joueurs les plus expérimentés, c'est à dire les « grosses prises » ne mordent pas à l'hameçon.

Exploitation des vulnérabilités du serveur de jeux

Un serveur de jeux est un ensemble organisé de services système, de programmes et de bases de données, conçu pour assurer le déroulement d'un jeu en ligne. Comme pour n'importe quel autre logiciel, le code du serveur contient des erreurs de programmation et des bogues. Ces vulnérabilités potentielles sont exploitées par les cyber-délinquants pour accéder aux bases de données du serveur et dérober les mots de passe, même s'ils ont été chiffrés (des outils spécialisés permettent de les déchiffrer).

Par exemple, il existe une vulnérabilité bien connue dans la messagerie instantanée utilisée à l'intérieur des jeux. Si l'environnement de messagerie n'est pas correctement isolé de la base de données du jeu lui-même, si certains symboles et certaines commandes ne font pas l'objet d'un contrôle, un chasseur de mots de passe pourra accéder directement à la base de données d'un joueur à travers la messagerie instantanée, soit manuellement, soit avec un outil spécialisé.


Messagerie instantanée dans Lineage 2
(www.lineage2.com)

pour accéder aux bases de données du jeu dépend du serveur. La création de correctifs spécifiques necéssite beaucoup de temps pour les serveurs pirates et plus encore pour les serveurs officiels (en supposant que l'administrateur d'un serveur pirate se soucie de corriger ces vulnérabilités).

Une autre façon de récupérer des mots de passe consiste à contourner le système prévu pour récupérer des mots de passe oubliés. Les cyber-délinquants soumettent ce système à des pétitions spécialement fabriquées, ou utilisent simplement la force brute, en donnant toutes les réponses possibles aux questions de sécurité. Ensuite, ils modifient le mot de passe de leur victime qui, bien entendu, n'est au courant de rien.

L'exploitation des vulnérabilités d'un serveur peut se révéler une tâche complexe, la mise au point et l'exécution d'une attaque de ce type exige un grand effort intellectuel. Cela se traduit souvent par une perte de temps et d'efforts car de nombreux pirates n'ont pas le savoir-faire nécessaire pour mener à bien une attaque.

Utilisation de logiciels malveillants

Des auteurs malintentionnés écrivent souvent des programmes malveillants pour les diffuser ensuite par tous les moyens possibles :

  • Liens publiés sur les forums de joueurs pointant vers des logiciels malveillants, présentés comme des correctifs pour des jeux sur ordinateur ;
  • Envoi massif de messages contenant des liens vers des logiciels malveillants, présentés comme un « nouveau correctif » ;
  • Envoi massif de messages avec le programme malveillant en pièce jointe, ou dans un lien ;
  • Dissémination du logiciel malveillant sur des réseaux d'échange de fichiers ;
  • Exploitation des vulnérabilités du navigateur, afin de télécharger le programme malveillant quand un utilisateur consulte un site de jeux.

    Le plus souvent, les cyber-délinquants se contentent de placer un lien vers un programme malveillant à l'intérieur d'un message qu'ils communiquent en cours de jeu ou sur les forums, en vantant les vertus d'un nouveau correctif, d'un nouvel outil ou d'un nouveau complément logiciel, censé améliorer le jeu.


    Message de News sur un serveur pirate

    « Attention !

    Dans le jeu, certaines personnes font de la publicité appuyée pour un certain patch qui permet soi-disant de voler des biens virtuels en toute impunité. Le fait est que ce patch est un cheval de Troie qui dérobe vos comptes utilisateurs et vos mots de passe. N’exécutez pas ce fichier ! Si jamais vous l’avez déjà téléchargé et exécuté – il n’est pas trop tard pour changer votre mot de passe.

    Et en général, veuillez avoir l’obligeance de ne pas télécharger ce type de patchs – ils peuvent contenir n’importe quels virus et trojans.

    Les administrateurs ne sont en aucun cas responsables de la perte de vos personnages dans de tels cas.

    Veuillez utiliser uniquement les patchs que nous mettons à disposition sur notre site. »

    Certains programmes malveillants n'attaquent que les utilisateurs de jeux en ligne, tandis que d'autres sont conçus pour le vol de mots de passe de tous types, y compris ceux utilisés pour les jeux en ligne. D'après le classement de Kaspersky Lab, les logiciels les plus répandus servant à voler les mots de passe de jeux en ligne, sont les chevaux de Troie qui répondent aux groupes Trojan-PSW., Trojan-Spy et la famille Trojan.Win32.Qhost.

    Le premier groupe utilise des méthodes traditionnelles pour collecter les données tapées au clavier. L'auteur du cheval de Troie parvient ainsi à récupérer le mot de passe, le nom du serveur et d'autres informations tapées sur le clavier d'un ordinateur infecté.

    Le second groupe opère en modifiant le fichier %windir%\system32\drivers\etc\hosts. Ce fichier contient une table de correspondances statiques entre des adresses réseau et des noms de serveur. Si le fichier contient l'adresse d'un faux serveur de jeux, la procédure d'authentification est alors prise en charge par ce faux serveur (auquel l'utilisateur vient d'envoyer son mot passe) au lieu du serveur authentique.

    Certaines variantes de la famille Trojan-Spy.Win32.Delf méritent également un commentaire. Ces variantes mettent en place un faux serveur proxy dans Internet Explorer, qui est dès lors utilisé pour se connecter à des serveurs de jeux en ligne. Comme dans le cas du fichier hosts déjà décrit, toutes les données de connexion de l'utilisateur sont transmises au pirate. Pour des jeux en ligne sur lesquels il n'est pas nécessaire de saisir son mot de passe (une stratégie délibérée, destinée à protéger les utilisateurs contre les intercepteurs de claviers), les mots de passe ne sont pas envoyés aux pirates sous forme de lettres et de symboles, mais comme des captures d'écran du jeu.

    Certaines variantes de la famille des Trojan-PSW redirigent les formulaires Web vers d'autres sites. Les formulaires Web sont également utilisés pour récupérer les mots de passe d'accès aux jeux en ligne. De nombreux serveurs de jeux disposent d'une interface Web permettant de consulter des statistiques ou d'autres informations sur le jeu, quand un utilisateur saisit son nom et son mot de passe. C'est au cours de l'envoi de ce formulaire que les données du nom et du mot de passe sont volées.

    Les mots de passe volés peuvent être récupérés par l'auteur du programme malveillant par email ou par messagerie instantanée, ils peuvent être transférés sur un serveur FTP par l'ouverture d'un fichier ou d'un dossier réseau, en utilisant Internet, FTP ou un dossier partagé.

    C'est en raison de la simplicité d'utilisation de ces logiciels malveillants (ils ne demandent aucune compétence technique) et des bénéfices qu'ils produisent, que les utilisateurs malveillants font appel à cette méthode plus souvent qu'à d'autres pour obtenir des mots de passe.

    L'évolution des logiciels voleurs de mots de passe

    La force motrice de toute évolution est la sélection naturelle. Les programmes antivirus se trouvent en première ligne de défense des ordinateurs et ils ont joué un rôle important dans l'évolution des logiciels conçus pour dérober les mots de passe des jeux en ligne. Plus la défense est forte et difficile à contourner, et plus les logiciels malveillants gagnent en complexité.

    La facture des premiers programmes voleurs centrés sur les jeux en ligne était encore primitive, mais ceux d'aujourd'hui font appel aux techniques les plus avancées de programmation de virus. Leur évolution s'est faite sur trois fronts : celui des procédés permettant de voler puis d'envoyer les mots de passe à l'auteur malveillant (chevaux de Troie Trojan-PSW et Trojan-Spy) ; celui des techniques de propagation (vers et virus) ; celui des techniques d'auto-défense contre les programmes antivirus (rootkit, Kill-AV et compresseurs).

    Chevaux de Troie

    La première apparition d'un programme malveillant spécialisé dans le vol de mots de passe de joueurs en ligne date de 1997, quand les fabricants d'antivirus commencèrent à recevoir des appels à l'aide provenant des utilisateurs du jeu Ultima Online, à propos d'un message contenant ce logiciel malveillant. À l'origine, ces programmes étaient des intercepteurs de clavier classiques. Les intercepteurs de clavier sont des chevaux de Troie sans connexion directe avec des jeux en ligne. Ils enregistrent toutes les séquences de touches frappées par l'utilisateur, et donc aussi les mots de passe de joueurs en ligne.

    Le premier logiciel malveillant qui ciblait les mots de passe des MMORPG, Trojan-PSW.Win32.Lmir.a, est apparu à la fin de 2002. Il s'agissait d'un programme simple, en langage Delphi. À intervalles programmés, il devait rechercher des fenêtres portant le titre « Legend of Mir2 », puis envoyer à son auteur un message avec toutes les données saisies par l'utilisateur dans cette fenêtre. Ce programme malveillant avait été mis au point en Chine, il ne présentait pas d'originalité particulière en termes de programmation et ne permettait pas de prévoir une propagation particulièrement grande. Pourtant, ce cheval de Troie simple et anodin est devenu rapidement un classique pour les chasseurs de mots de passe des MMORPG. Le code source de ce cheval de Troie a été publié sur Internet et ensuite modifié pour d'autres jeux en ligne — une tâche relativement simple. Dès qu'on changeait le nom du jeu ciblé (à « MapleStory », par exemple), le cheval de Troie entreprenait de voler les mots de passe correspondants. Ces simples modifications du logiciel malveillant ont tôt fait de déclencher un développement et une propagation encore impossibles à enrayer sur les MMORPG.

    La propagation du logiciel Trojan-PSW.Win32.Lmir et d'un grand nombre d'autres variantes sont le résultat de plusieurs facteurs :

    1. La popularité du jeu Legend of Mir, qui était la cible originale du cheval de Troie Trojan-PSW.Win32.Lmir ;
    2. Le grand nombre de serveurs spécialisés dans ce jeu ;
    3. La capacité de propagation des chevaux de Troie, qui exploitent les vulnérabilités d'Internet Explorer. Les chasseurs de mots de passe pirataient les serveurs de jeux, puis inséraient sur leur site Web un script de téléchargement qui exécutait le cheval de Troie dans les ordinateurs des joueurs ;
    4. L'apparition de plus de 30 constructeurs du logiciel Trojan-PSW.Win32.Lmir (Constructor.Win32.Lmir – un logiciel spécialisé dans la création et le paramétrage de chevaux de Troie conçu pour voler les mots de passe du jeu Legend of Mir 2).

    Dès que la version Trojan-PSW.Win32.Lmir fit ses preuves, les chasseurs de mots de passe s'empressèrent de modifier son code, afin de cibler d'autres jeux en ligne populaires. Parmi les descendants de ce programme se trouvent Trojan-PSW.Win32.Nilage (qui ciblait Lineage2) et Trojan-PSW.Win32.WOW.a (qui s'attaquait aux joueurs de World of Warcraft). Ces programmes, apparus en 2004 et 2005 respectivement, sont encore les logiciels malveillants les plus répandus, car ils ont été portés par la vague de popularité grandissante des jeux qu'ils ciblaient. La plupart de ces chevaux de Troie sont conçus pour voler les noms d'utilisateur et les mots de passe de jeux en ligne disponibles sur des domaines en .tw, et ils retransmettent ensuite les données volées à une adresse courriel ou à un serveur FTP situé sur un domaine en .cn.

    La majorité des chevaux de Troie sont conçus pour cibler des jeux en ligne spécifiques. Enfin, en 2006, le programme Trojan-PSW.Win32.OnLineGames.a fit son apparition : il dérobait les mots de passe de pratiquement tous les jeux en ligne les plus répandus (naturellement, à partir d'adresses serveur où les victimes étaient déjà enregistrées). La liste des jeux ciblés par ce cheval de Troie continue de grandir.


    Portion du programme malveillant Trojan-PSW.Win32.OnLineGames.fs,
    qui vole les mots de passe, en particulier pour MapleStory

    Un cheval de Troie moderne conçu pour voler les mots de passe de jeux en ligne se présente comme une bibliothèque dynamique écrite en langage Delphi, qui se connecte automatiquement à toutes les applications exécutées par le système. Quand il détecte le démarrage d'un jeu en ligne, ce type de programme intercepte le mot de passe tapé au clavier, retransmet les données dans un message adressé à son auteur et, enfin, efface toutes les traces de son passage. L'utilisation d'une bibliothèque dynamique permet au cheval de Troie de masquer sa présence dans le système. Pour favoriser son installation dans l'ordinateur de sa victime, il utilise également un Trojan-Dropper (pour une installation en deux temps), un ver ou tout autre logiciel malveillant.

    Vers et virus

    Les jeux en ligne sont si populaires partout dans le monde qu'il n'est pas difficile de rencontrer un joueur entre les utilisateurs moyens d'Internet. C'est aussi pourquoi les techniques d'autoréplication jouent un rôle aussi important dans la progression des logiciels conçus pour voler des mots de passe de jeux en ligne. Ces logiciels visent le plus grand nombre possible d'utilisateurs de différents serveurs de jeux.

    Le premier ver spécialement conçu pour voler les mots de passe de jeux en ligne était Email-Worm.Win32.Lewor.a. Ce ver se transmettait soi-même aux adresses qu'il trouvait dans le carnet d'adresse d'Outlook Express des ordinateurs qu'il avait infecté. S'il parvenait à trouver le nom d'utilisateur, le mot de passe et l'adresse du serveur « Legend of Mir », il envoyait ces données à un serveur FTP appartenant à son auteur. Le premier publipostage massif du ver Email-Worm-Win32.Lewor.a fut enregistré au début de juin 2004.

    Après lui, les chasseurs de mots de passe des jeux en ligne commencèrent à ajouter des fonctions d'autoréplication dans leurs programmes. Les logiciels malveillants se répliquaient sur les disques externes, accompagnés d'un fichier « autorun.int » qui les exécutait grâce à la fonction de démarrage automatique des disques (l'infection était évitée quand l'option était désactivée). Ainsi, quand l'utilisateur connectait une unité de mémoire flash à l'ordinateur infecté, le programme malveillant se répliquait automatiquement sur cette unité externe. Par la suite, quand l'utilisateur connectait la mémoire flash à un autre ordinateur, le démarrage automatique de la copie infectait à leur tour le reste des unités externes, en plus de tous les disques branchés à l'ordinateur. Parmi les victimes, on dénombra même des centres de reproduction de supports numériques, qui imprimèrent des copies sur des disques de mémoire flash.

    Bientôt, d'autres sortes de programmes malveillants firent leur apparition. Ils étaient capables d'infecter des fichiers exécutables et de se répliquer sur les réseaux. Les sous-programmes de ce type, qui permettaient aux auteurs de disséminer leurs créations, posait un problème nouveau que les fabricants d'antivirus eurent à résoudre. En effet, quand un programme malveillant possède des fonctions d'autoréplication dans les dossiers partagés que les utilisateurs laissent en accès ouvert (comme c'est le cas pour les réseaux P2P ou pour les dossiers partagés des réseaux Microsoft), le nombre de victimes potentielles augmente considérablement.

    Ce type de programmes malveillants est classé par Kaspersky Lab dans la catégorie des vers Worm.Win32.Viking. Son successeur, Worm.Win32.Fujack, est une autre étape dans l'évolution des programmes prédateurs de jeux en ligne à propagation massive.

    La dernière trouvaille des auteurs de virus pour les jeux en ligne est le virus polymorphique Virus.Win32.Alman.a et son successeur Virus.Win32.Hala.a. En plus de l’infection des fichiers exécutables, ces programmes malicieux présentent les mêmes fonctions que les vers (diffusion par réseau), les rootkits (mécanismes furtifs dans le système) et les backdoors. L’ordinateur infecté se connecte à un serveur spécifique dans le réseau, et reçoit des instructions de la part de l’auteur de virus – y compris pour le chargement et l’exécution de programmes, classés par Kaspersky Lab comme Trojan-PSW.Win32.OnLineGames.

    Les virus Alman.a et Hala.a comportent des listes de fichiers exécutables qui ne doivent pas être infectés. En plus des fichiers malicieux les auteurs de virus ont intégré dans ces listes des fichiers des clients de jeux en ligne. Pourquoi vous demandez-vous ?

    Compte tenu du fait que les mécanismes de défense du jeu en lui-même et/ou de la solution antivirus peuvent bloquer le lancement des fichiers exécutables modifiés, les cyber-criminels ont fait en sorte que les joueurs puissent sans entrave exécuter ce jeu sur des machines infectées. Alors le Trojan-PSW.Win32.OnLineGames téléchargé intercepte les mots de passe et les envoie à son créateur.


    Partie du fichier infecté par le virus Virus.Win32.Alman.a


    Tableau chronologique des logiciels prédateurs de jeux en ligne :

    Mois,année Chevaux de Troie Vers Virus
    1997 Intercepteurs de clavier classiques    
    2002 Décembre Trojan-PSW.Win32.Lmir.a    
    Juin 2004   Email-Worm.Win32.Lewor.a  
    Octobre 2004 Trojan-PSW.Win32.Nilage.a    
    Février 2005   Worm.Win32.Viking.a  
    Décembre 2005 Trojan-PSW.Win32.WOW.a    
    Août 2006 Trojan-PSW.Win32.OnLineGames.a    
    Décembre 2006   Worm.Win32.Fujack.a  
    Avril 2007     Virus.Win32.Alman.a
    Juin 2007     Virus.Win32.Hala.a


    Les techniques d'auto-défense des logiciels prédateurs de jeux en ligne

    La nécessité permanente d'échapper aux fabricants d'antivirus a poussé les auteurs de virus à mettre au point des techniques d'autodéfense.

    La première étape est marquée par l'utilisation de techniques de compression, pour empêcher que le code ne soit identifié par les méthodes d'analyse de signatures. L'utilisation de compresseurs complique le désassemblage du code et rend plus difficile l'analyse des logiciels malveillants.

    À l'étape suivante, on vit apparaître les techniques dites « killav », qui permettaient aux logiciels malveillants de désactiver le système de sécurité de l'ordinateur, ou encore, de se rendre invisible aux programmes antivirus.

    Enfin, la dernière innovation en techniques d'autodéfense des logiciels prédateurs de jeux en ligne, ce sont les technologies « rootkit ». Il s'agit de technologies qui rendent indétectables les processus malveillants, non seulement par les produits antivirus mais par le système lui-même.

    En général, les logiciels prédateurs des MMORPG utilisent une combinaison des trois techniques précédentes.

    Par exemple, les chevaux de Troie Trojan-PSW.Win32.Nilage (qui vole les mots de passe de Lineage II) et Trojan-PSW.Win32.WOW (qui cible les joueurs de World of Warcraft) présentent deux démarches distinctes. Le premier programme utilise des compresseurs pour tenter d'effacer sa signature, et il masque sa présence dans le système, pour ne pas être détecté par les analyseurs antivirus. Le second s'attaque directement aux produits antivirus, en désactivant les fonctions de sécurité de l'ordinateur de la victime. Il ne faut pas trop s'en étonner, car Lineage2 est très répandu en Asie, alors que World of Warcraft l'est surtout en Amérique et en Europe.

    Comment se déroule une attaque moderne

    La progression des logiciels voleurs de mots de passe pour jeux en ligne est à la traîne par rapport à d'autres programmes malveillants. Ceci s'explique par l'apparition relativement récente des jeux en ligne et des logiciels malintentionnés qui les prennent pour cible. Pendant longtemps, ces logiciels étaient très simples, programmés en langage Delphi, et donc faciles à détecter et à neutraliser par les programmes antivirus. Mais ces deux dernières années, les auteurs de logiciels s'attaquant aux jeux en ligne ont adopté une nouvelle stratégie, dans l'intention de forcer les systèmes de sécurité des solutions antivirus. Aujourd'hui, les attaques contre les ordinateurs des joueurs sont préparées en fabriquant des vers à fonctions multiples. Ces vers sont capables d'autoréplication (vers de messagerie, vers P2P, vers de réseau), d'infecter des fichiers exécutables (virus), de rendre leur présence indétectable dans le système (rootkit) et de voler des mots de passe (chevaux de Troie de la catégorie PSW).


    Composants des logiciels prédateurs de jeux en ligne

    Ensuite, le ver est disséminé par publipostage massif. Il suffit d'un moment d'inattention de la part du destinataire du courrier indésirable — un clic sur le lien du un message, l'ouverture d'un fichier inconnu, etc. Déjà, le code malveillant aura infecté tous les fichiers exécutables de l'ordinateur, il se sera propagé sur la totalité du carnet d'adresses de l'utilisateur et il aura pris ses quartiers dans toutes les ressources réseau accessibles. Mais la victime ne s'aperçoit de rien, parce que les techniques furtives (« rootkit ») rendent sa présence indétectable dans le système.

    On remarquera que dans presque toutes les attaques de ce type, les mots de passe volés sont envoyés à une adresse ou à un serveur FTP situés sur un domaine en .cn.

    Considérations géographiques

    Dans tous les sujets qui traitent du vol des mots de passe de jeux en ligne, l'Asie se trouve inévitablement en toile de fond. Ce que confirment d'ailleurs les statistiques, puisque cette région du monde compte le plus grand nombre de joueurs en ligne. Le vol des mots de passe de jeux en ligne concerne en premier lieu la Chine et la Corée du Sud. Les raisons de ce phénomène ne sont pas très claires, mais les chiffres sont parlants : plus de 90 % de tous les chevaux de Troie ciblant des jeux en ligne ont été écrits en Chine, et plus de 90 % des mots de passe volés par ces programmes appartiennent à des joueurs de sites sud-coréens.

    Dans les autres pays, il est très rare de découvrir de nouveaux chevaux de Troie visant des jeux en ligne, et ils sont rarement modifiés plus de deux ou trois fois.

    En Russie, la généralisation des ordinateurs et le progrès rapide des technologies informatiques ont eu naturellement un impact sur l'évolution des jeux d'ordinateur. Une caractéristique typique de l'industrie ludique russe est la popularité des BBMMORPG (Browser-Based MMORPG). Ces jeux, dont le plus célèbre en 2002 était Fight Club (Combats.ru), n'utilisent pas de logiciel client autonome : toute l'action du jeu se déroule dans un navigateur Internet.


    Capture d'écran du célèbre jeu Fight Club
    (www.mjournal.ru)

    L'abondance de ces types de jeux et le nombre considérable de joueurs ont bien entendu attiré l'attention des cyber-délinquants russes. En Russie, les attaques avaient recours de préférence aux techniques d'hameçonnage (le « phishing ») permettant de propager des adresses frauduleuses. C'est ainsi que de nombreux clones des sites de Fight Club et d'autres jeux ont commencé à surgir sur Internet, auxquels renvoyaient les liens dans les messages.

    Au cours d'une attaque, un message — prétendument envoyé par les administrateurs du site Web — informait les destinataires d'un changement d'adresse du serveur. Mais après s'être connecté à cette nouvelle adresse, le joueur n'obtenait qu'un message d'erreur. En fait, grâce au mot de passe introduit, un automate installé sur le faux site avait déjà modifié les codes d'accès de la victime sur le serveur original. Après cela, l'utilisateur ne pouvait plus accéder au jeu avec son ancien mot de passe, tandis que les escrocs, munis d'un nouveau mot de passe « légitimes », avaient la liberté totale non seulement de jouer, mais aussi de s'emparer des biens virtuels d'autres personnes.

    Les courriers d'hameçonnage et les faux sites sont rangés par Kaspersky Lab dans la catégorie des Trojan-Spy.HTML.Fraud et Trojan-Spy.HTML.Combats. Mais il semble que, pour les cyber-délinquants russes, ce soit la fin du parcours. Bien sûr, de nouveaux programmes malveillants sont découverts, mais il n'y a pas de raison de croire qu'une attaque à grande échelle puisse encore être dirigée contre des joueurs en ligne depuis la Russie. Ces attaques sont limitées à des techniques d'hameçonnage et à l'utilisation d'intercepteurs de claviers classiques, qui ne sont pas spécialisées dans les jeux en ligne.

    Quelques statistiques

    Contrairement à ce qui se passe en Russie, le reste du monde est victime chaque année d'un nombre croissant de programmes malveillants, nouveaux ou modifiés pour s'attaquer à des jeux en ligne. Kaspersky Lab reçoit chaque jour plus de 40 de ces logiciels malveillants qui cherchent à s'emparer de mots de passe pour accéder à des jeux en ligne populaires. La qualité et la quantité de ces échantillons sont en constante progression, aiguillonnés par la réactivité des fabricants d'antivirus et la popularité croissante des jeux en ligne. La plupart de ces logiciels sont programmés pour cibler des serveurs de jeux spécifiques.


    En 2002, près de 99 % de tous les échantillons de logiciels malveillants MMORPG reçus par Kaspersky Lab étaient classés dans la catégorie Trojan-PSW.Win32.Lmir. Ensuite, au fur et à mesure des lancements et de la popularisation de nouveaux jeux, le nombre des programmes s'attaquant aux joueurs de Legend of Mir chuta considérablement. Aujourd'hui, les MMORPG le plus souvent pris pour cible sont Lineage2 (plus de 40 % de tous les chevaux de Troie ciblant des jeux en ligne visent Lineage2), World of Warcraft (20 %), Gamania, Tibia et Legend of Mir (environ 6 % pour chacun). Ces pourcentages reflètent indirectement la popularité respective des jeux en ligne pour lesquels les chasseurs de mots de passe conçoivent leurs programmes.

    Le diagramme ci-dessous présente les statistiques de nouveaux logiciels malveillants par rapport aux jeux en ligne les plus populaires en 2006 : Lineage2 et World of Warcraft.


    Ces deux univers de jeux sont ouverts aux utilisateurs depuis 2004. Au fur et à mesure que leur popularité augmentait, les cyber-délinquants gagnaient en appétit. En 2006, les statistiques mensuelles des chevaux de Troie ciblant Lineage2 et World of Warcraft sont montées en flèche et représentaient à la fin de l'année près de 70 % de tous les logiciels s'attaquant aux jeux en ligne.

    Conclusion

    Le nombre de jeux en ligne grandit constamment, parallèlement aux armées de joueurs, et font sans cesse de nouvelles recrues. Des logiciels malveillants existent pour presque tous les MMORPG et leur but est de voler les mots de passe des utilisateurs. Si un jeu n'est pas victime de ces logiciels, cela veut seulement dire que les utilisateurs ne sont pas encore prêts à débourser de l'argent pour acquérir les biens virtuels utilisés dans le jeu.

    La progression significative des logiciels prédateurs de jeux en ligne ne s'explique pas seulement par le marché des objets de valeur nécessaires au jeu. Le vol de mots de passe est un marché lucratif qui profite de l'absence de véritables moyens de répression. La quasi-totalité des contrats de licence prévoit que tous les composants du jeu sont la propriété des développeurs. Le joueur n'est donc qu'un simple utilisateur du service fourni, y compris du compte protégé par un mot de passe. Par conséquent, un joueur peut se plaindre à l'administrateur pour le vol de son un mot de passe, mais il n'y a pas de recours juridique.

    D'un point de vue légal, le vol d'une propriété virtuelle n'est pas considéré comme un crime et les utilisateurs malveillants ne peuvent pas être condamnés pour autre chose que pour la diffusion de programmes malveillants ou pour tentative de fraude.

    Les cyber-délinquants sont en permanence à l'affût des utilisateurs de jeux en ligne.

    Les développeurs tentent de protéger les joueurs contre les chasseurs de mots de passe en introduisant de nouveaux mécanismes de contrôle et d'authentification, en utilisant des protocoles sécurisés, en distribuant toutes sortes de correctifs pour les programmes clients, ou même en modifiant le mode de sélection des objets dans le jeu.

    Les fabricants d'antivirus essaient également d'éviter le vol des mots de passe en mettant à jour régulièrement et rapidement les bases de données et en améliorant la détection heuristique et comportementale des logiciels prédateurs, dans leurs produits antivirus.


    Les joueurs, fabricants d'AV, développeurs de jeux et cyber-délinquants

    Une autre démarche permet également d'améliorer la protection des joueurs : la coopération active des développeurs de jeux en ligne et des fabricants d'antivirus. En 2004, un accord, conclu entre Kaspersky Lab et les développeurs russes du jeu en ligne Fight Club, prévoyait que tout code suspect découvert par les administrateurs ou les joueurs devait être envoyé à Kaspersky Lab pour son analyse et identification, afin de sécuriser la propriété virtuelle des joueurs aussi efficacement que possible. Cet accord s'est révélé tout à fait efficace. Il a en effet permis de déjouer des milliers de tentatives de vols de mots de passe. Si ces attaques avaient réussi, le montant minimum des « bénéfices » (en termes d'argent réel) des chasseurs de mots de passe aurait facilement dépassé les dizaines de milliers d'euros.

    Alors, quel conseil pouvons-nous donner à un joueur pour éviter qu'on ne lui vole son mot de passe ? Au risque de nous répéter, adoptez les précautions de base, faites appel au bon sens, gardez la tête sur vos épaules et installez sans plus tarder le meilleur antivirus que trouverez !

    Source:
    Kaspersky Lab
    		•  

    Copyright © 1996 - 2010
    Kaspersky Lab
    Industry-leading Antivirus Software
    All rights reserved
     

    Email: webmaster@viruslist.com