Symantec descobre 44 milhões de senhas de jogos roubadas

A Symantec descobriu um servidor que hospedava 44 milhões de credenciais, que foram roubadas de contas de games .

• O que era interessante sobre a ameaça não era apenas o número de contas roubadas, mas que as contas estavam sendo validadas por um cavalo de Tróia distribuídos para computadores comprometidos. Symantec detecta essa ameaça como Trojan.Loginck.

Este servidor de banco de dados específico descoberto, parece ser o centro da operação parcial de um verificador de senha que visavam sites de jogos chineses.

As credenciais de login roubados não são apenas de jogos online em particular, mas também incluem o login do usuário de contas associadas as sites que hospedam vários tipos de jogos online.

• Em ambos os casos, as contas contidas no banco de dados, foram obtidos a partir de outras fontes, provavelmente usando malware com informações de capacidades, tais como

Então, imagine só: você é um cara mau e criou ou comprou um botnet. Você tem como alvo sites de jogos online e agora tem 44.000 milhões de conjuntos de credenciais de jogos à sua disposição.

Agora é hora de virar as credenciais de jogos em dinheiro vivo. Mas como você pode descobrir que as credenciais são válidas e, portanto, vale algum dinheiro? Três opções vêm à mente:

• 1. Log em sites de jogos 44 milhões de vezes!

• 2. Crie um programa para fazer login no site e fazer a verificação para você (isto levaria meses).

• 3. Crie um programa que faz a verificação dos dados de login e depois distribuia o programa para vários computadores.

A primeira opção, naturalmente, parece quase impossível. Opção dois também não é muito viável, já que sites sempre bloqueam endereços IP, depois de várias tentativas que falharam. Tirando vantagem do processamento distribuído da terceira opção, você pode completar a tarefa mais rapidamente e ajudar a mitigar os problemas de insuficiência múltipla do login repartindo a tarefa ao longo de mais endereços IP. Isto é o que os criadores Trojan.Loginck fizeram.

• A maioria dos botnets têm a capacidade de baixar e executar arquivos, então porque não empurrar um pedaço de malware personalizado para cada bot? O malware pode fazer logon no banco de dados e download de um grupo de nomes de usuário e senhas, a fim de verificar a validade deles.

Se o cavalo de Tróia consegue na sua tarefa iniciar a sessão, ele, então, atualizará o banco de dados com o tempo conectado e as credenciais do usuário (como o nível de jogo atual, etc) antes de passar para o próximo nome de usuário e senha. Os atacantes podem fazer logon no banco de dados e pesquisa para o nome de usuário válido e combinações de senha.

• O banco de dados em questão detém atualmente cerca de 17 GB de dados de arquivo plano. Uma amostra particular analisada pela Symantec , tentou validar senhas para Wayi Entertainment, mas não são credenciais para sites pelo menos 18 jogos no banco de dados.

O quão valioso é um banco de dados deste tipo? Embora possa ser extremamente difícil avaliar um banco de dados deste tipo, existem sites legítimos por aí afora que se concentram sobre a compra e venda de contas online. Utilizando os dados de alguns destes sites, a tabela abaixo tenta detalhar um conjunto de preços possíveis. O mais barato das contas provavelmente contém um único caractere chamado algo como "Medíocre Tom", cuja única arma é uma colher enferrujada. Em contraste, uma conta cara normalmente contêm vários personagens poderosos, com nomes como "Warlock, Bringer of Death", que é adepto do "Lethal Lance de Loki." Esses preços são o valor solicitado, não o valor recebido:

Gaming account	Type of account	# of accounts in database	Value range	Online market valuation
World of Warcraft	MMORPG	~210,000	$35-$28,000	www.playerauctions.com
Aion	MMORPG	~60,000	$150-$1420	www.playerauctions.com
PlayNC*	Online game publisher	~2 million	$6-$2855	www.gamewar.com
Wayi Entertainment	Online game publisher	~16 million	Unknown	--

É importante notar que a compra e venda real das contas é normalmente proibida por muitos jogos online e sites de hospedagem, como evidenciado pelos termos do seu EULA. Os leilões online que permitem aos usuários vender contas, como em playerauctions.com, são sites legítimos que tentam proteger o comprador e o vendedor contra a fraude através do uso do depósito. Foi usada a tabela acima, para colocar os valores bruto de mercado sobre as contas, e não se teem nenhuma evidência que estes sitess têm negociado as contas roubadas.

• Como sempre, a Symantec recomenda a você que mantenha suas definições sempre atualizadas, a fim de garantir a proteção contra novas ameaças. Como uma precaução adicional, se você estiver em posse de uma conta de jogo de um dos sites listados acima, uma atualização de sua senha, não faria nenhum mal.