{"id":24282,"date":"2020-06-18T11:24:17","date_gmt":"2020-06-18T09:24:17","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=24282"},"modified":"2020-06-18T15:49:10","modified_gmt":"2020-06-18T13:49:10","slug":"gaming-password-stealers","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/gaming-password-stealers\/24282\/","title":{"rendered":"Wie Trojaner Spielkonten stehlen"},"content":{"rendered":"

Wir schreiben oft \u00fcber die Online-Bedrohungen, denen Gamer ausgesetzt sind; dazu geh\u00f6rt beispielsweise versteckte Malware in Raubkopien, Mods und Cheats, sowie Phishing und alle Arten von Betrug<\/a> beim Kauf oder Tausch von In-Game-Gegenst\u00e4nden. Vor nicht allzu langer Zeit haben wir bereits das Problem vom Erwerb gebrauchsfertiger Konten<\/a> n\u00e4her erl\u00e4utert. Gl\u00fccklicherweise ist es leicht, solche Bedrohungen zu vermeiden, wenn man sie kennt.<\/p>\n

Doch es gibt eine weitere Gefahr, die Sie kennen und gegen die Sie sich verteidigen sollten: sogenannte \u201ePassword Stealer\u201c (dt. Passwortdiebe). Wenn unsere Sicherheitsl\u00f6sungen diese abfangen, werden sie gew\u00f6hnlich als Trojaner-PSW (o. \u00c4.) bezeichnet. Es handelt sich dabei um Trojaner, die darauf ausgelegt sind, Konten zu stehlen. Sie zielen entweder auf Benutzernamen und Passwort-Kombinationen oder die Sitzungs-Token des Benutzers ab.<\/p>\n

Vielleicht haben Sie bereits mehr \u00fcber Steam Stealer<\/a> gelesen. Diese Trojaner stehlen Konten auf der weltweit beliebtesten Vertriebsplattform Steam. Aber es gibt noch viele andere Plattformen wie Battle.net, Origin, Uplay und den Epic Games Store. Sie alle haben ein Multimillionen-Dollar-Publikum. F\u00fcr die Angreifer sind diese Dienste besonders verlockend; erkl\u00e4ren tut dies die Existenz dieser Art von Trojanern.<\/p>\n\n

Was sind Password Stealer<\/em>?<\/h2>\n

Password Stealer sind eine Art von Malware, die Kontoinformationen stiehlt. Im Wesentlichen \u00e4hnelt sie einem Banking-Trojaner, doch anstatt eingegebene Daten abzufangen oder zu ersetzen, stiehlt der Password Stealer in der Regel bereits auf dem Computer gespeicherte Informationen: im Browser gespeicherte<\/a> Benutzernamen und Passw\u00f6rter, Cookies und andere Dateien, die sich zuf\u00e4llig auf der Festplatte des infizierten Ger\u00e4ts befinden. Oftmals sind Spielekonten auch nur eines der Ziele von Dieben, einige sind n\u00e4mlich auch an Online-Banking-Anmeldedaten interessiert.<\/p>\n

Stealer k\u00f6nnen sich Nutzerkonten auf vielerlei Weise bem\u00e4chtigen. Nehmen wir zum Beispiel den Trojaner-Dieb Kpot (auch bekannt als Trojaner-PSW.Win32.Kpot). Die Verbreitung erfolgt haupts\u00e4chlich durch E-Mail-Spam mit sch\u00e4dlichem Anhang, der Sicherheitsl\u00fccken (z. B. in Microsoft Office) ausnutzt, um die eigentliche Malware auf den Computer zu laden.<\/p>\n

Dann \u00fcbertr\u00e4gt der Stealer Informationen \u00fcber die auf dem Computer installierten Programme an den Command-and-Control-Server und wartet auf weitere Befehle. Unter den m\u00f6glichen Befehlen sind solche zum Stehlen von Cookies, Telegram- und Skype-Konten und vieles mehr.<\/p>\n

Au\u00dferdem kann er Dateien mit der Endung .config aus dem %APPDATA%\\Battle.net-Ordner entwenden, der, wie Sie sich denken k\u00f6nnen, mit Battle.net, Blizzards eigenem Launcher, verkn\u00fcpft ist. Diese Dateien enthalten unter anderem das Sitzungs-Token des Spielers \u2013 d. h. die Cyberkriminellen erhalten nicht den eigentlichen Benutzernamen und das Passwort, aber sie k\u00f6nnen den Token verwenden, um sich als der Benutzer auszugeben.<\/p>\n

Andere Malware, die auf Uplay, dem Launcher von Ubisoft, abzielt, tr\u00e4gt den Namen Okasidis; unsere L\u00f6sungen erkennen sie als Trojan-Banker.MSIL.Evital.gen. In Bezug auf Spielekonten verh\u00e4lt sich der Trojaner wie Kpot, au\u00dfer dass er zwei spezifische Dateien stiehlt: %LO-CALAPPDATA%\\Ubisoft Game Launcher\\users.dat und %LOCALAPPDATA%\\Ubisoft Game Launcher\\settings.yml.<\/p>\n

Interessant ist Uplay auch f\u00fcr eine Malware namens Thief Stealer (erkannt als HEUR:Trojan.Win32.Generic), die alle Dateien aus dem Ordner %LOCALAPPDATA%\\Ubisoft Game Launcher\\ ausfindig macht.<\/p>\n

Dar\u00fcber hinaus sind Uplay, Origin und Battle.net allesamt Ziele f\u00fcr die BetaBot-Malware (erkannt als Trojan.Win32.Neurevt). Aber dieser Trojaner hat eine andere Vorgehensweise. Wenn der Benutzer eine URL besucht, die bestimmte Schl\u00fcsselw\u00f6rter enth\u00e4lt (z. B. alle Adressen mit den W\u00f6rtern \u201euplay\u201c oder \u201eorigin\u201c), erm\u00f6glicht die Malware die Datenerfassung aus Formularen auf diesen Seiten. Das hei\u00dft, die auf den Seiten eingegebenen Benutzernamen und Passw\u00f6rter f\u00fcr Konten gehen direkt an die Angreifer.<\/p>\n

In allen drei F\u00e4llen ist es unwahrscheinlich, dass der Benutzer etwas bemerkt \u2013 der Trojaner zeigt sich in keinster Weise auf dem Computer, sondern stiehlt heimlich Dateien und\/oder Daten.<\/p>\n

Wie man sich vor Trojanern sch\u00fctzt, die nach Spielkonten trachten<\/h2>\n

Im Prinzip m\u00fcssen Spielkonten genauso gesch\u00fctzt werden wie alles andere, auch gegen \u201eStealer\u201c. Befolgen Sie die folgenden Ratschl\u00e4ge, um die Angriffe der Trojaner-Diebe zu vermeiden:<\/p>\n