Über Chat App Discord Geld von ROBLOX-Spielern stehlen

Originalbeitrag von Stephen Hilt, Senior Threat Researcher

Die Tatsache, dass Cyberkriminelle Online-Spieler angreifen, ist nicht neu. Es gab Fälle, in denen die Angreifer gefälschte Spiele-Apps nutzten oder Online-Spielegeld zum Zweck der realen Geldwäsche ergatterten. Das Ziel ist meist einfach: persönliche Informationen werden gestohlen und zu Geld gemacht. Dafür wird normalerweise das Spiel selbst missbraucht. Doch im vorliegenden Fall missbrauchen die Kriminellen nicht das Spiel selbst sondern die von den Gamern verwendeten Kommunikations-Tools. Das ist Discord, eine viel verwendete Chat-Plattform der neuen Generation mit mehr als 45 Mio. registrierten Nutzern.

ROBLOX

In den Angriff ist ROBLOX mit einbezogen, ein sehr beliebtes Multiuser-Spiel mit mehr als 178 Mio. registrierten Konten und mit monatlich mehr als 12 Mio. aktiven Nutzer. ROBLOX erlaubt den Spielern, ihre eigenen Minispiele und Umgebungen zu erstellen, die sie dann mit anderen teilen. Über eine soziale Netzwerkkomponente tauschen sich die Spieler aus und partizipieren an den Gewinnen und Ausgaben von Robux, der eigenen virtuellen Währung, die auch in tatsächliches Bargeld umgetauscht werden kann.

Hinterhältige Schwachstelle in Discord

Die Forscher von Trend Micro fanden heraus, dass Cyberkriminelle eine eingebaute Fähigkeit der Chat-Plattform Discord missbrauchen, nämlich das Application Programming Interface (API), das es den von Nutzern erstellten Apps und Codes ermöglicht abzulaufen. Die Angreifer können Browser Cookies stehlen, die ROBLOX-Logininformationen enthalten. Dafür nutzen sie Webhooks. Das Ziel der Kriminellen ist der Diebstahl der Spielewährung, die sie dann in echtes Geld umtauschen können. Technische Details zum Vorgang liefert der Originalbeitrag.

Eine Variante der Malware, TSPY_RAPID.D, läuft persistent auf dem betroffenen System, sodass neue Spielkonten-Cookies abgegriffen werden können, wann immer das System ROBLOX ausführt – damit sind auch Passwortänderungen nutzlos. Auch ersetzt der Schädling die ROBLOX-Executables durch eine bösartige Version und informiert das Opfer darüber, dass der Prozess abgestürzt ist.

Bild 1. Die gefälschte ROBLOX-Meldung

Darüber hinaus ergab die Analyse, dass findige Cyberkriminelle mit nur wenigen Änderungen das System in eine Command-and-Control (C&C)-Infrastruktur verwandeln können, sodass ihre Kommunikation ohne weitere Ressourcen ablaufen kann. Weitere Beispiele und Szenarien beinhaltet das Whitepaper „How Cybercriminals Abuse Chat Program APIs as Command-and-Control Infrastructure”.

Lösungen und Gegenmaßnahmen

Es gibt keinen einfachen Schutz gegen diese Bedrohung. Auch bemerkt der Nutzer das Sicherheitsproblem erst, wenn der Angriff bereits stattgefunden hat und die Malware im System ist. Deshalb sollten Nutzer überlegen, ob sie die Chat-Plattform trotz Risiko tatsächlich weiter einsetzen wollen.

Trend Micro hat eng mit Discord zusammengearbeitet, um solche Bedrohungen zu identifizieren und zu entfernen. Auch kann es hilfreich sein, folgende Best Practices zu beachten:

  • Es sollte immer eine Sicherheitslösung auf dem System vorhanden sein und die Software stets auf aktuellem Stand gehalten werden.
  • Nie verdächtige Links anklicken, auch wenn sie von Freunden kommen.
  • Nie verdächtige Dateien herunterladen, auch wenn die Quelle bekannt ist.
  • Keine persönlichen Informationen über das Internet veröffentlichen, auch wenn sie von einem Freund gefordert werden.
  • Immer die Posts auf dem Messageboard beachten, vor allem wenn sie für Anwendungen werben.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*