Une récente campagne de phishing et de diffusion de malwares ciblant les utilisateurs de WoW remet à l 'ordre du jour la question de la vulnérabilité des cyber-identités. Les outils d 'authentification utilisés par les joueurs pour accéder à leurs comptes peuvent parfois être utilisés pour diffuser des malwares. World of Warcraft mérite une attention toute particulière en raison de son extrême popularité et de la valeur implicite qu 'il représente pour les cybercriminels.
Cette récente campagne de phishing, qui exploite illégalement l 'identité visuelle du jeu, demande aux utilisateurs de mettre à jour les informations de leur compte en suivant un lien censé leur permettre de se connecter. Ce lien les redirige en fait vers un faux site web de World of Warcraft qui utilise adroitement plusieurs scripts PHP afin d 'obtenir leurs données sensibles.
Fig. 1 La fausse page web utilisée dans la campagne de phishing
Après avoir indiqué leur nom d 'utilisateur WoW et leur mot de passe, les utilisateurs confiants sont invités à fournir des informations confidentielles, telles que leur adresse e-mail et une réponse à une question secrète. Notons que le formulaire dans lequel doivent être saisies ces données se nomme ” Mounts Application Trial “, ce qui peut contribuer à convaincre les adeptes de WoW. La description du jeu indique en effet que les montures (” mounts “) permettent aux joueurs de se déplacer plus rapidement. Pour résumer leur importance, il suffit de dire qu 'il s 'agit d 'un signe d 'un certain ” statut social ” et qu 'elles ne peuvent pas être attaquées par les monstres. Et voilà !
Malgré l 'attrait de cette proposition, la dernière demande devrait éveiller la méfiance des joueurs, puisque la liste parmi laquelle ils doivent choisir une question contient les ” questions secrètes ” habituellement proposées lors de la création d 'un e-mail.
Fig 2. Deuxième étape du recueil de données
Afin de s 'assurer de recevoir toutes les informations que les joueurs leur servent sur un plateau d 'argent, les cybercriminels offrent généreusement à leurs victimes un malware lié, bien sûr, aux jeux en ligne. Et pour couronner le tout, la dernière fenêtre rassure les joueurs en leur indiquant que l 'application (un charmant cheval de Troie !) a bien été installée.
Fig 3. La touche finale de l 'attaque de phishing
Identifié par BitDefender sous le nom de Trojan.PWS.OnlineGames.KDEU, ce malware effectue une série d 'opérations précises.
Il s 'assure tout d 'abord de ne pas être affecté par un redémarrage du système en créant des fichiers autorun.inf lançant automatiquement des copies de lui-même.
Il choisit ensuite de créer des copies de lui-même à la racine des disques locaux et dans le dossier temporaire de l 'utilisateur connecté. Il dépose dans ce dernier un fichier .dll qui s 'injecte dans l 'espace mémoire du processus explorer.exe à partir duquel il s 'exécute et dérobe les mots de passe de différents jeux en ligne. Il crée également un fichier autorun.inf dans le dossier racine de toutes les partitions locales, toutes les deux minutes, afin de se répliquer.
Au démarrage du système, la copie est enregistrée par une nouvelle entrée sous HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run et le cheval de Troie d 'origine s 'auto-détruit, ne laissant aucune trace de son existence.