Via Twitch verspreide malware haalt Steam-accounts leeg

Het beveiligingsbedrijf F-Secure heeft ontdekt dat malware dat zich verspreidt via de videokanalen van Twitch in staat is om Steam-accounts leeg te halen. De malware verkoopt onder andere items die een gebruiker heeft aangekocht, en ruilt waarschijnlijk items met de daders.

De malware heeft de naam Eskimo gekregen, zo meldt F-Secure, die in een blogpost de vondst uit de doeken deed. Eskimo verspreidt zich via bots die videokanalen binnendringen op Twitch, een populaire sociale-netwerksite waarin gamers livebeelden kunnen streamen. De bot plaatst vervolgens een reactie over een loterij waarbij prijzen gewonnen kunnen worden. Kijkers die op de link klikken krijgen echter malware geserveerd.

Volgens F-Secure richt de Eskimo-malware zich op Steam. De kwaadaardige software blijkt namelijk onder andere in staat om, na zich op de pc van de getroffen gebruiker te hebben genesteld, via het gamingplatform items te kopen en verkopen. Items die een gebruiker al in bezit heeft worden met korting verkocht, waarschijnlijk om snel genoeg geld te vergaren om voor de daders 'interessante' items te kopen; veel gebruikers zouden hebben opgemerkt dat er met een account onder de naam Youni dure items worden geruild, waardoor wordt vermoed dat dit account in handen is van de daders.

Het is niet geheel duidelijk waarom de malware zich specifiek richt op Steam, maar de daders lijken erop gericht om via het platform dure items te vergaren, die zij vervolgens voor veel geld kunnen verkopen. Het is onduidelijk of Steam al actie ondernomen heeft tegen de Eskimo-malware. Eigenaar Valve zou bijvoorbeeld kunnen achterhalen wie er achter het Youni-account zit.

Oplichterij via Twitch en Steam

IT-banen

Reacties (112)

Malistix1985 13 september 2014 09:18

bizar dat ze vanuit een game stream website iets kunnen versprijden dat zoveel instructies via steam voor mekaar krijgt. Helemaal erg als iemand niet via IDEAL betaald en credit card gegevens op steam heeft staan!! dan kunnen ze heel snel heel veel geld weg trekken bij mensen.

Skyaero @Malistix1985 • 13 september 2014 10:06

Zo moeilijk is het allemaal (helaas) niet. Er bestaan al langere tijd zowel bots voor de Twitch chat (Nighbot is een van de meest bekende legale bots) als voor Steam (bijv trading bots van TF2 outpost of gelijkwaardige marktplaatsen)

Verder heb je alleen een niet al te slimme gebruiker nodig:
1) De Twitch bot post een link een de chat van een live-streamer
2) De link stuurt je door naar een webpagina en geeft aan dat je een raffle (loterij) gewonnen hebt.
3) Je item/game kun je alleen via Steam claimen. Ook dit is tegenwoordig standaard bij bijv Humble Bundle en wekt dus niet direct argwaan
4) Je wordt gevraagd om in te loggen op je Steam account. In plaats van de officiele steam website kom je op een phising website terecht.
5) Een steam bot gebruikt je account gegevens en ruilt je kostbare items met een bot van de malware maker.

En daarom: two-factor authentication, iets wat steam ook gewoon aanbied.

Verder zijn er gelukkig veel live-streamers op twitch die links standaard niet toestaan en/of een actieve moderator community die deze links snel verwijderen.

Pheace

Steam

@Skyaero • 13 september 2014 10:39

Phishen van de account gegevens is in dit geval niet eens nodig. Enkel het activeren van de malware. Want de malware werkt gewoon op de computer van de account eigenaar, en die is al geauthorizeerd.

Plainside @Skyaero • 15 september 2014 08:24

Dang moet ik helaas mededelen dat phisers niet veel aan mij zullen verdienen

Maarja ik kijk vele streams(20+) en ben zelf meestal actief in chats en dergelijke, vaak zie ik zelf ook wel links voorbij komen tenzij het een image link is(imgur, minus, etc) klik er anders niet op.

Natuurlijk worden er ook van allerlei artikelen over nieuwe spellen gelinkt en tenzij ik de gebruiker ken klik er meestal niet op.

Slechdt @Malistix1985 • 13 september 2014 09:23

Niet zozeer game stream website zoals ik het lees. Volgens mij zijn het gewoon linkjes in de chatbox waar mensen op klikken.

De bot plaatst vervolgens een reactie over een loterij waarbij prijzen gewonnen kunnen worden. Kijkers die op de link klikken krijgen echter malware geserveerd.

Verwijderd @Malistix1985 • 13 september 2014 09:57

iDeal/Rekening gegevens worden niet in Steam/bij Valve opgeslagen of aan je account gekoppeld. Daar hebben ze een middleman/payment collector voor. Creditcard gegevens worden -wel- gekoppeld aan je Steam account en lopen dan inderdaad wat gevaar om misbruikt te worden.

Verwijderd @Malistix1985 • 13 september 2014 22:45

Tja, als steam een API biedt...

naaitsab 13 september 2014 09:15

De bot plaatst vervolgens een reactie over een loterij waarbij prijzen gewonnen kunnen worden. Kijkers die op de link klikken krijgen echter malware geserveerd.

Geeft nog maar eens aan dat de beste anti-virus de gebruiker zelf is.

Toch spijtig dat Java nog steeds zo (schrikbarend) veel lekken bevat, mag anno 2014 toch niet meer voorkomen.

darknessblade @naaitsab • 13 september 2014 09:34

de gebruikers moeten gewoon "geen compensatie" krijgen, omdat het hun eigen schuld is dat ze op de "loterij" link hebben gedrukt.

er word altijd aangeraden om onbekende bronnen niet te vertrouwen.

het is zelfs zeer simpel om te kijken of een link betrouwbaar is:
1 start de pagina http://www.siteadvisor.com (van macaffee)
2 rechtermuisknop --> properties
3 kopieer de link bij properties
4 paste de link in de invulbox op de website van macaffee.
5 dan weet je of de link veilig is of niet

dit is hetzelfde bij banken.
als ze kunnen achterhalen dat de malware is geinstaleerd door eigen schuld, dan krijgen gebruikers geen geld terug

hansg @darknessblade • 13 september 2014 10:31

Je snapt toch zelf wel dat je advies neerkomt op "gebruik het internet niet". Zelfs _deze_ site, waar ik toch al vele jaren kom, serveert "links van onbekende bronnen" in de vorm van advertenties - en het gaat ook regelmatig mis (pas nog op nu.nl, nog een site die waar ik al jaren kom).

Een dergelijke procedure, gewoon om wat te browsen, gaat echt alle perken te buiten; als het echt nodig is, laat de browser het dan doen en niet de gebruiker.

Overigens ken ik siteadvisor niet, en daarom ga ik zeker niet zomaar op jouw linkje klikken. Je zegt dat het van McCaffee is, maar waarom zit het dan niet onder hun domein? Voor hetzelfde geld is het een Russische hacker-site.

sygys @hansg • 13 september 2014 11:33

Gewoon niet op reclame drukken. Dan ben je meestal veilig

sypie @sygys • 13 september 2014 12:35

Kortom: reclame blokkeren, in welke vorm dan ook. Goed, na deze uitspraak komen we weer in dezelfde discussie die hier al vaker is gevoerd: welke sites of adservers wel en niet? Dat is voor de leek ook niet uit te zoeken en dus blokkeren we ze allemaal maar.

Ik wil geen reclame zien, nergens. Ook niet in mijn brievenbus.

mikesmit @sypie • 13 september 2014 13:50

Ja en nee. Ondanks dat ik ook reclame blokkeer is dit niet de juiste manier. De websites leven van de reclame gelden en het is fout om deze te blokkeren maar wel gebruik te maken can de websites.

Het word tijd dat reclame op internet niet meer interactief mag worden zodat al deze problemen eindelijk verdwenen zijn. Gewoon jpeg afbeeldingen met de boodschap erin en het adres van de website eronder... (helaas onmogelijk te implementeren aangezien er geen statistics kunnen worden bijgehouden)

Maar het gaat om het idee

Verwijderd @mikesmit • 13 september 2014 14:01

Maar die websites kiezen er dan wel weer voor om de advertenties extern geregeld te laten worden, dus in feite een stukje van hun website door een advertentiebedrijf te laten invullen. Wat gezien al het nieuws over malware via advertenties vrij onveilig is, maar toch blijven ze het doen. Ik vindt dat advertenties door de website zelf beheerd moeten worden, en als dat niet gebeurd -> Adblocker. Niet alleen omdat het onveilig is (feit) maar ook omdat ik ook op tweakers nog regelmatig advertenties zie die in je beeld schuiven als je er met je muis overheen gaat of op een andere manier de aandacht afleiden en irritant zijn.

Verwijderd @Verwijderd • 13 september 2014 16:01

Als je je daar zo aan iriteert neem je toch een ad free account op Tweakers? Lijkt me eerlijker dan de site te tillen.

Dorank @mikesmit • 13 september 2014 14:07

Gewoon jpeg afbeeldingen met de boodschap erin

Er zijn gelukkig geen vulnerabilities in libraries die jpegs afhandelen in browsers.

Maar goed, libjpeg is nog altijd veiliger dan libtiff die op meerdere plekken te gebruiken is geweest als jailbreak.

Verwijderd @Dorank • 13 september 2014 16:06

Ik neem aan dat jij dan Lynx gebruikt als browser? Malware kan zich in theorie via elke library verspreiden, dus text only lijkt mij de enige veilige weg voor jou.

Dorank @Verwijderd • 13 september 2014 17:29

Sorry maar er zitten ook fouten in CLI environments, lynx gebruikt bv ncurses die in een "ver" verleden wel vatbaar is geweest voor het lekken van control codes naar te terminal (net als bv telnet). waarmee het mogelijk was om commandos uit te voeren in de terminal.

Maar voor de hand liggende alternatieven (die veel makkelijker zijn):
-adblocker
-browsen zonder images (geserveerd door third party URLs)
Daar zijn plugins voor te krijgen voor elke zinnige browser.

Verwijderd @Dorank • 13 september 2014 21:17

Je zegt zelf dat malware in elke jpeg kan zitten??? Ik hoop dat je door hebt dat meer dan de helft van gewone content uit jpegs bestaat. Geen adblocker die dat voor je afvangt. Er zijn zelfs situaties geweest waarin het font malware bevatte.

Dorank @Verwijderd • 14 september 2014 19:36

Er zijn zelfs situaties geweest waarin het font malware bevatte.

Worden hier geblockeerd door no-script..

Maar het is overduidelijk: browsers zijn waarschijnlijk de gevaarlijkste, veelvuldigst gebruikte software op end user devices vandaag de dag.

Je kan als gebruiker veel doen om je weerbaarder te maken. Maar voor velen is dat of te veel moeite of ze hebben gewoon geen enkel idee van de gevaren.

Caviatjuh @mikesmit • 13 september 2014 16:43

Er kan server-side toch gewoon bijgehouden worden hoevaak de betreffende ad is opgevraagd? En ad roulatie kan ook prima vanaf dezelfde server gedaan worden als waar de website op staat. Vroeger gebeurde dit ook zo, waarom dat nu niet meer kan is mij onduidelijk. Ik blokkeer standaard alles wat van een externe bron ingeladen wordt. Dat daar ook ads bij zitten is niet mijn probleem.

kimborntobewild @Caviatjuh • 13 september 2014 16:54

waarom dat nu niet meer kan is mij onduidelijk

Dat is niet onduidelijk; dat is om allerlei statistieken te verzamelen en profielen van IP-adressen of users uit te breiden.
Wel is het onetisch.

mae-t.net @mikesmit • 13 september 2014 21:54

Wat betreft statische reclame, aub ook zonder pingbacks, ben ik het volledig met je eens.

Dat je met het bekijken van reclame betaalt voor diensten, is in de praktijk misschien wel zo, maar de site die volledig of hoofdzakelijk op advertenties vertrouwt als betaalmodel inplaats van als verdienmodel is qua bedrijfsplan niet zo solide opgezet. Het is dus eerder sportief dat je de advertenties niet blokkeert dan dat het oneerlijk is om ze wel te blokkeren. Ook zonder adblockers zijn advertentieverdiensten een gelukkige bijkomstigheid die in principe niet met de gebruiker of de eigen dienst te maken heeft. Inkomsten zijn dus mooi meegenomen maar komen nooit 1:1 overeen met het gebruik van de site. Immers kan de gebruiker de advertentie ook zo wel negeren of juist besluiten niet bij de adverteerder te kopen.

[Reactie gewijzigd door mae-t.net op 27 juli 2024 19:41]

Chayan71 @mikesmit • 14 september 2014 00:43

Uiteindelijk gaat het toch om de keuze van de website. Binnenkort gaan wij zelf van start met een grote sportwebsite en kunnen adverteerders alleen statische plaatjes plaatsen voor de banners via ons eigen interne advertentienetwerk. Hoewel we er in het begin niet aan ontkomen om ook Google adsense te gebruiken hopen we dit zo snel mogelijk uit te bannen.

kimborntobewild @mikesmit • 13 september 2014 16:55

(helaas onmogelijk te implementeren aangezien er geen statistics kunnen worden bijgehouden)

Je spreekt jezelf tegen: het is dus wel mogelijk. Als ze maar geen statistieken bijhouden.

Dorank @Verwijderd • 13 september 2014 18:19

Ik zou willen dat deze leugen nu eindelijk eens de wereld uit geholpen werd.

Onderbouwen met bronnen zou een goede start zijn.

Verwijderd @Dorank • 13 september 2014 21:13

Er valt weinig aan te onderbouwen. Van het oversteken van een snelweg ga je niet dood, maar van de auto's op de snelweg is de kans wel groot. Valt net zo min te onderbouwen. Simpel boeren verstand.

Malware via adnetwerken komt van flash, silverlight of java content. Zorg je ervoor dat die plugins er niet zijn, of dat die pas na een klik actief worden, heb je de oorlog al meer dan half gewonnen. Alleen wil niemand dat horen, want dan valt de leugen weg waarmee ze oa. Tweakers mee denken te mogen bedonderen.

[Reactie gewijzigd door Verwijderd op 27 juli 2024 19:41]

mae-t.net @Verwijderd • 13 september 2014 22:08

Denk je niet dat je het wat zwart/wit ziet? Als het gezegde 'zo de waard is vertrouwt hij zijn gasten' klopt, dan wil ik met jou nooit van m'n leven zaken doen...

Hoe dan ook, je hebt gelijk dat je met het onder controle hebben van java, flash en silverlight (volledig uitzetten is niet altijd een optie) al de helft gewonnen hebt. Met een goede heuristische virusscanner nog eens de helft van de resterende helft.

Blijft over een 25% van het oorspronkelijke probleem. Dat is toch nog steeds niet erg klein, en een adblocker lost bovendien nog wat extra problemen en ergernissen op. Hoewel ik niet het idee heb dat er sprake is van fanatisme, erken ik dat een adblocker soms erg handig is vooral vanwege het vangen van meerdere vliegen in één klap.

Verder denk ik dat de meeste tweakers zich wel netjes aan de regel (eigenlijk: het vriendelijke verzoek, want handhaven is principieel lastig) van de redactie houden om de (bovengemiddeld zorgvuldig) geselecteerde advertenties toe te laten.

Overigens elders ook zonder java of flash tegenwoordig advertenties die me in de verleiding brengen om ze keihard te blokkeren: advertenties die zonder klikken geluid produceren.

Nu we het toch over andere redenen hebben om advertenties te blokkeren: koekjes, pingbacks, overige manieren om data over individuele gebruikers te verzamelen, etc.

[Reactie gewijzigd door mae-t.net op 27 juli 2024 19:41]

Verwijderd @mae-t.net • 14 september 2014 10:50

Als de stelling is 'ik wil geen reclame, nooit en nergens', waarom wordt ik dan geacht ineens wel genuanceerd te gaan doen? Door de groei van adblockers zie ik de paywall met rasse schreden naderen. Want zoals je zegt, het is moeilijk te controleren. De adblockers helpen een bedrijfsmodel om zeep waardoor we gratis content hebben. Wees er maar trots op.

Juist door selectief blocken van actieve content zorg je voor een signaal. Niet door het klakkeloos blocken van alles. Ik block alleen Flash. Java draait niet in de browser. En silverlight heb ik nog nooit gemist. Daardoor heb ik nauwelijks *last* van ads.

En voor die cookies zijn ook andere tools waardoor Tweakers wel gewoon z'n boterham kan blijven verdienen.

Kortom, ik heb niets tegen het buiten de deur houden van reclamebureaus. Het is juist de zwart-wit houding van de adblocker fans die me tegen staat.

Sterker nog. Ik gebruik adblock. Maar dan met maar een handje vol zelf ingestelde regels van echt iritante strobo-ads.

[Reactie gewijzigd door Verwijderd op 27 juli 2024 19:41]

mae-t.net @Verwijderd • 14 september 2014 15:52

Omdat je met nuance veel beter je standpunt kunt overbrengen. Zoals je nu je bericht schrijft is het opeens wel realistisch en kunnen anderen zich erin herkennen en zo hun eigen zwartwitbeeld inkleuren of er practisch advies uit putten.

[Reactie gewijzigd door mae-t.net op 27 juli 2024 19:41]

Verwijderd @mae-t.net • 14 september 2014 18:04

Ooit dacht ik er net zo over, maar ik heb geleerd dat deze discussies zich als een soort perpetuum mobile eeuwig doorslepen. Men is niet op zoek naar de waarheid, maar naar een rechtvaardiging. En meestal tegen beter weten in, dus die spiegel zit niemand op te wachten.

Nuance kost tijd. Verspilde tijd, die ik beter kan besteden.

mae-t.net @Verwijderd • 15 september 2014 11:30

Nooit een rechtvaardiging om zaken die aan onzin grenzen of die op enige manier aan je eigen geloofwaardigheid of vertrouwenwekkendheid afdoen, op te schrijven. Maar ik weet uit ervaring dat herhaling van zetten inderdaad afstompend kan werken. Ik heb er in zulke gevallen voor gekozen om liever niets te schrijven.

[Reactie gewijzigd door mae-t.net op 27 juli 2024 19:41]

Alexxxxxxxxxx @sygys • 13 september 2014 12:34

Nee. Reclame wordt ook ingeladen als je er niet op drukt.

Verwijderd @hansg • 13 september 2014 16:14

Overigens ken ik siteadvisor niet

Die club is alweer heel wat jaartjes geleden idd door McAfee overgenomen.

stresstak @hansg • 13 september 2014 23:16

Je zegt dat het van McCaffee is, maar waarom zit het dan niet onder hun domein?

Als we hier al niet weten hoe je McAfee schrijft, hoe moet een argeloze gebruiker dat dan allemaal weten en goed doen ?

darknessblade @hansg • 14 september 2014 09:57

hier wat info over de website (inclusief het IP)

www.siteadvisor.com
161.69.13.140
PageRank : 7 / 0 (google)
Alexa Rank : 730
Country : United States
Region :California
City :Santa Clara

voor onbekende links gebruik ik altijd de console, ik kan dus ook dat precieze stukje code blockeren zoals ik al erder heb gezegd waardoor je dit niet meer terug zult zien

MaxxBass @darknessblade • 13 september 2014 09:42

Jij als tweaker snapt deze uitleg. De gewone gebruiker zal toch stap 2 eerst moeten doen, anders loopt ie al vast.

Je moet je wel proberen in de huid van de normale gebruiker te kruipen...

sygys @MaxxBass • 13 september 2014 11:32

Heel leuk maar dit is een java pop up je kunt helemaal geen link kopieeren. Op het moment dat je op ok druk ben je al besmet

darknessblade @sygys • 13 september 2014 12:08

dan moet je in plaats van properties, ---> de console openen. en kijken waar de code van de pop-up je naar toe stuurd
hieronder een klein voorbeeldje van een code van een advertentie.
--------------------
bv:
<a href="http://www.game-advertising-online.com/index.php?section=redir&zon=1576&zid=5331e890b1fdd&subid=&referrer=http%3A%2F%2Fwww.(site hier invoegen)com%2F&redir=" target="_blank" rel="nofollow"><img src="http://images.gx101.com/b/a4415/aa/aaw_s1.jpg" width="336" height="768" border="0"></a>
----------------------------------
voeg je zoiets toe aan de add-blocker rules dan krijg je dit niet meer

Quacka @darknessblade • 13 september 2014 12:22

leg dat eens aan je moeder uit...

Miks @Quacka • 13 september 2014 13:25

Los van dat moeders niet vaak op steam zitten heb je natuurlijk gelijk. Gebruikers zijn misschien "dom", maar als ontwikkelaar weet je dat al van tevoren. Dus daar moet je de boel op inrichten.

Oftewel dit is niet de schuld van gebruikers maar van Steam. Het moet niet mogelijk zijn dat malware dit kan. Het artikel gaat helaas niet in op hoe de malware (een executable) onderstaande acties weet uit te voeren:

  •  Take screenshots
  •  Add new friends in Steam
  •  Accept pending friend requests in Steam
  •  Initiate trading with new friends in Steam
  •  Buy items, if user has money
  •  Send a trade offer
  •  Accept pending trade transactions
  •  Sell items with a discount in the market

eXcyle @Miks • 13 september 2014 15:06

Er is gewoon een API voor steam die je kan aanspreken.
Onderdeel hiervan is de IEconService waarmee je gewoon kan traden.
dus alles wat je opnoemd is gewoon een kewstie van de juiste URL aanspreken met de juiste credentials.

mae-t.net @eXcyle • 13 september 2014 21:49

Lijkt me dat dit het punt van Miks juist verder onderbouwt, namelijk dat steam beveiliging kan en moet implementeren om misbvruik van die api te voorkomen.

darknessblade @eXcyle • 14 september 2014 09:51

of gewoon een captcha/ speciale code die naar de email die bij registratie is gebruikt van beide personen word gestuurd, die je kan invoeren om de ruil rond te maken.

comitatus @Miks • 14 september 2014 02:02

Belangrijkste is van alles dat steam dit oplost en de gedupeerde schadeloos stelt en wijst op de malware op hun pc.

darknessblade @Quacka • 13 september 2014 14:02

dat zal niet gaan, ze weet nog niet eens wat het problem is wanneer de muis het niet doet, nadat alle computers een keer van plaats zijn verwisseld/schoongemaakt.
(de usb was uitgeplugt)

stuiterveer @sygys • 13 september 2014 13:51

De bots sturen in link via de comments in een chat. Dat betekent dat je zelf al de fout hebt gemaakt de link te volgen wanneer jij de pop-up ontvangt.

Verwijderd @sygys • 13 september 2014 12:13

Als ik iets niet vertrouw dan start ik de taskmanager en kill ik het process ipv dat ik op een knop klik, ongeacht of dat een ok, cancel, of close knop is.

In dit geval had ik sowieso geen probleem, omdat ik geen java op mijn PC heb staan en dat er ook niet op komt. Alhoewel het hier niet om een fout in Java lijkt te gaan is Java iha een gaten kaas die meer ellende dan goeds brengt. Het is tijd voor java om client side een snelle dood te sterven.

mikesmit @Verwijderd • 13 september 2014 13:46

Dit is niet iets waar java schuldig aan is (je hebt wel gelijk over java trouwens). Het is vooral raar dat dit allemaal mogelijk is bij steam.

Het verbaast me ook dat java na al die jaren en wekelijkse updates nog zo Super langzaam en lek als een mandje is

skoozie @darknessblade • 13 september 2014 10:50

Waarom zou ik op jouw link klikken en deze vertrouwen? Om maar aan te geven hoe makkelijk iemand ergens op zou kunnen klikken. Ik vind het des te bedroevender dat mensen zich door 'loterijen' laten verleiden....

Alfa1970 @naaitsab • 13 september 2014 09:27

Dit zijn geen lekken. Dit zijn gewoon domme acties van gebruikers.
Gratis geld bestaat niet.
Als je dat altijd in je achterhoofd houdt dan ben je beschermd tegen dit soort aanvallen.

Asgaro @Alfa1970 • 13 september 2014 14:58

Gratis geld bestaat wel.

In de Steam thread op NeoGAF worden er continu games weggegeven via giveaways onder members.

Of kijk naar http://www.steamgifts.com/

En op Twitch.tv geven streamers ook regelmatig games weg om meer volk te trekken.

[Reactie gewijzigd door Asgaro op 27 juli 2024 19:41]

mad_max234 @Asgaro • 13 september 2014 22:19

Gratis geld bestaat wel.

In de Steam thread op NeoGAF worden er continu games weggegeven via giveaways onder members.

Of kijk naar http://www.steamgifts.com/

En op Twitch.tv geven streamers ook regelmatig games weg om meer volk te trekken.

Toch is gratis meestal niet gratis, alleen al door naar die website gaan betaald je al mee aan de promotie en hun inkomsten, maar aantal zullen ook nog lid worden of andere games kopen. Hoe dan ook word er betaald voor de games die ze "gratis" weggeven.

Gratis bestaat bijna niet, als je eraan mee doet zit je al in het verdienmodel en betaal je dus door bijvoorbeeld tijd te besteden op de website, hoeft niet altijd in geld te betalen, tijd is ook geldwaard.

Nha @Bilel • 13 september 2014 16:01

Weggeven is weggeven, zonder iets in ruil. Dus hoezo sta je dan in het krijt bij iemand?

Proxx @Nha • 15 september 2014 09:44

door jou like of pageview krijgt een andere meer reclame inkomste.

voor niets gaat de zon op... voor de rest moet je betalen.

Nha @Proxx • 15 september 2014 15:13

ALS ik like. En als ik GEEN adblocker gebruik. Ik kan je garanderen dat het perfect mogelijk is op Twitch rond te loeren zonder dat er aan je verdient wordt (door advertenties anyways).

skiwi2 @naaitsab • 13 september 2014 10:36

Eh, waar haal jij vandaan dat het überhaupt iets met Java te maken zou hebben?

naaitsab @skiwi2 • 13 september 2014 10:40

De foto die erbij staat is een 'showMessageDialog' van Java. Verder zijn de meeste van dit soort infecties Java gerelateerd. Een win32 exe wordt veel sneller door de antivirus gepakt.

Dykam @naaitsab • 13 september 2014 15:01

Het is simpelweg mensen die een Trojan downloaden via de Twitch chat. Niks bijzonders, geen exploit behalve wat social engineering. Heeft geen bal met Java te maken buiten dat dat toevallig de keuze voor de applicatietaal was.

mae-t.net @Dykam • 13 september 2014 22:23

Wat een voordeel kan zijn, omdat java (gelukkig) steeds minder vaak standaard geïnstalleerd hoeft te worden voor van alles en nog wat.

Verwijderd @naaitsab • 13 september 2014 14:02

Hebben de slachtoffers ook in Chrome aangeklikt dat de Java code uitgevoerd mocht worden?

Verwijderd @naaitsab • 13 september 2014 11:00

After this message, the malware proceeds to dropping a Windows binary file and executing it

Lijkt toch weinig met java te maken te hebben. Java is alleen de drager voor de daadwerkelijke payload.

Ik ga ervan uit dat de handtekening intussen in mijn malware scanner zit.

naaitsab @Verwijderd • 13 september 2014 11:07

Java zorgt (zoals vaak) voor de "breuk" in je OS. Daarna wordt er op de een of andere manier een Windows of Java exe uitgevoerd. Simpelweg downloaden zullen de meeste AV's niet toelaten.

Verwijderd @naaitsab • 13 september 2014 15:34

In dit geval niet als ik het zo lees. In dit geval was gewoon de gebruiker de breuk. De Java plug-in in de browser is een draak, maar deze keer lijkt hij niet de schuldige.

ikwilwp8 @naaitsab • 13 september 2014 10:28

Gemiddelde internetgebruiker klikt alles gewoon lekker door. Loterij.exe installeren? Natuurlijk! Oh, even je steam credentials invoeren om games te winnen. Natuurlijk!

houseparty @naaitsab • 13 september 2014 13:41

Geeft nog maar eens aan dat de beste anti-virus de gebruiker zelf is.

Niet perse, aangezien dit soort injectie ook via bijvoorbeeld scripts ingebouwd in reclame uitingen op legitieme sites mogelijk is.

Toch spijtig dat Java nog steeds zo (schrikbarend) veel lekken bevat, mag anno 2014 toch niet meer voorkomen.

Niet alleen lekken, maar gewoon ook teveel mogelijkheden die te misbruiken zijn.

Website beheerders kunnen klagen dat scriptblockers hen inkomsten doen missen, maar dit geval (evenals zovele) toont weer eens aan dat het default blokkeren (in eerste instantie) van scripts tegenwoordig gewoon een van de noodzakelijke vereisten is om een PC "velig" te houden.

[Reactie gewijzigd door houseparty op 27 juli 2024 19:41]

flippy @naaitsab • 13 september 2014 16:25

Common Sense 2014.

Verwijderd @flippy • 15 september 2014 10:48

The icon that never ends

C0rnelis @Vexxon • 13 september 2014 11:26

Er wordt alleen een reactie geplaatst met een link (zonder javascript). Wanneer je die link volgt komt je op een website die met Java o.a. de getoonde popup laat zien. Dat is wat er in het artikel staat.

Verwijderd @mschol • 13 september 2014 15:42

Java en jQuery hebben absoluut niets met elkaar te maken. Java is een programeertaal, terwijl jQuery een Javascript framework is.

En dan. Java ansich is niets mis mee. Het is de browser plug-in die zo gaar als boter is.

Verwijderd @Verwijderd • 13 september 2014 22:44

Aanvullend; Los dat beide 'talen' de term 'java' delen, hebben ze vervolgens weinig gemeen. java != javascript.

En inderdaad, er is niets mis met Java. Het is enkel erg populair, en dus ook populair onder mensen die er misbruik van willen maken. Haal je java weg, dan richt men zich op .NET haal je dat weg, dan richt men zich op een python/perl/ruby interpreter, enz, enz.

Kortom; Symptoombestrijding.

xoniq 13 september 2014 10:55

Voert men daar hun steam login ergens in? Of is het zo schrikbarend slecht dat een onafhankelijke applicatie zomaar zulke dingen kunnen doen bij andere applicaties .. Toch een reden waarom ik vertrouwen heb in sandbox environments.

Verwijderd @xoniq • 13 september 2014 23:12

Sandboxes helpen niet zo heel erg veel met de afscherming van bijv. REST API's.
Tenzij het gaat om sandboxes met ook een eigen adres (bv. FreeBSD jail of LXC), maar een hoop sandbox-implementaties zijn vaak enkel een afgeschermd stukje storage.

Nu weet ik niet het fijne over de steamworks API (google heeft mij ook niet binnen 2 minuten verhelderd), maar ik zou mij zo voor kunnen stellen dat dat ook gewoon een API over een TCP socket is.

xoniq @Verwijderd • 14 september 2014 08:53

Ben het helemaal met je eens, maar het lijkt mij toch stug dat Steam een public API aanbied waarmee 3rd party apps (en dus ook geïnfecteerde applicaties) zomaar aankopen weg kunnen geven/ruilen tegen willekeurige mindere games of volledige aankopen kunnen maken?

royzegthoi 13 september 2014 09:21

'Het is niet geheel duidelijk waarom de malware zich specifiek richt op Steam.'

'Het beveiligingsbedrijf F-Secure heeft ontdekt dat malware dat zich verspreidt via de videokanalen van Twitch... ....'

Lijkt mij een vrij logische stap. Twitch laat gamers live hun matches/games streamen. Ik ken geen feiten, maar ik weet wel dat Steam 5 jaar geleden al populair was onder gamers, dus ik ben er van overtuigd dat nowadays iedere gamer weet wat steam is, het het ook gebruikt.

sasaa 13 september 2014 10:05

heel simpel te verklaren dat de hacker dure items wilt ruilen naar zich zelf.
sommige items zijn meer dan 300 euro waard. ik zelf heb een "★ StatTrak™ Flip Knife | Stained" terwaarde van 80 euro, die ik heb gekregen uit een kistje, in de game "Counterstrike global offensive" (CSGO).

maar ook "team fortress 2" heeft genoeg duure items dus snap best dat ie die afhandig wilt maken.

tevens is de manier waarop natuurlijk gericht op e ja klikkers we kennen ze allenmaal.

Pwuts 13 september 2014 09:23

Ben ik effe blij dat ik geen Twitch heb gebruik

@Malistix1985: Inderdaad ernstig dat zulke software zomaar zoveel kan uithalen. Dat zal ook gedeeltelijk aan de interne beveiliging van Steam liggen.

[Reactie gewijzigd door Pwuts op 27 juli 2024 19:41]

Mmore @Pwuts • 13 september 2014 09:30

Twitch kan je niet hebben, het is gewoon een website waar je heen kan gaan om streams te zien van gamers en game tournaments.

De malware wordt waarschijnlijk via de chat verspreid en de gebruiker moet zelf nog op de link klikken en de malware downloaden. Dat is hetzelfde als dat er linkjes op Tweakers of YouTube in de comments staan die naar een malafide website leiden.

Twitch kan hier dan ook niet heel veel aan dan buiten om zo snel mogelijk de gebruikte links en users (bots?) bannen die hieraan gekoppeld zijn. Maar dat is altijd een kat en muis spel. Uiteindelijk ligt de verantwoordelijkheid wat mij betreft bij de eindgebruiker en niet de aanbieder van een dienst als Twitch.

Umbrah @ludacrash • 13 september 2014 09:53

Nah, dit zat in de chat. Je ziet dit soort links ook wel eens op Youtube langs komen... sterker nog: ze zijn er wel eens op tweakers, maar de modjes zijn gelukkig snel, scherp en goed hier (en tweakers is een relatief kleine site).

Kort door de bocht is er maar een punt van kritiek op twitch, en dat is het vraagstuk: sinds wanneer is het kijken naar andere mensen die iets niet-fysieks spelen leuker dan het zelf doen?

CAPSLOCK2000

Websites en community's
Netwerk en systeembeheer

@Umbrah • 13 september 2014 12:21

sinds wanneer is het kijken naar andere mensen die iets niet-fysieks spelen leuker dan het zelf doen?

Fysieke of niet heeft er maar weinig mee te maken. Je kan je net zo goed afvragen waarom mensen kijken naar de wel-fysieke prestaties van een ander in plaats van het zelf te doen. Half Nederland kijkt voetbal op TV in plaats van het zelf te spelen. Overigens is de precisie en het reactievermogen van sommige gamers behoorlijk indrukwekkend.

Ik denk dat we graag zien hoe de meesters te werk gaan en op een niveau presteren dat we zelf nooit zullen halen. Mensen zijn empathische wezens die mee kunnen voelen met wat ze zien. Als in de film iemand een schop in z'n kruis krijgt dan duiken alle mannen in de zaal pijnlijk in elkaar. Op dezelfde manier kunnen we meegenieten met iemand die een uitzonderlijke prestatie neerzet.

[Reactie gewijzigd door CAPSLOCK2000 op 27 juli 2024 19:41]

Mmore @Umbrah • 13 september 2014 10:53

Het is entertainment. Populaire twitch streamers zijn goed in een game, maar vooral in het entertainen van hun viewer base. Dezelfde vraag kan je natuurlijk stellen als het gaat over TV of bijvoorbeeld muziek spelen. Deze streamers kunnen iets dat de meeste van ons niet kunnen of willen (op ene hoog niveau gamen) en daar kijken mensen graag naar. Om bijvoorbeeld van te leren.

Zelf kijk ik bijna nooit naar twitch streams maar als ik kijk dan gaat mijn voorkeur uit naar iemand met (mijn soort) humor die veel praat en eventueel uitlegt. En ik volg de League of Legends toernooien soms op twitch, een game die ik zelf bijna niet meer speel maar wel actief bekijk.

Verwijderd @Umbrah • 13 september 2014 14:29

Sinds de Olympische spelen of nog veel eerder.

Verwijderd 13 september 2014 10:20

dit werkt niet op windows xp dus ben helemaal veilig.

Verwijderd @Verwijderd • 13 september 2014 14:31

En dat weet jij hoe? Ben jij soms de hekker?

Teijgetje @Titan_Fox • 13 september 2014 11:37

Ha, de moppersmurf......

Lees het artikel eerst eens, het gaat niet over Steam, maar over via Twitch, en met Windows heeft het ook niets te maken.
Als jij toestemt iets uit te laten voeren dan voert de computer dat uit, zo simpel is dat.
Tenzij jouw computer natuurlijk nooit iets laat openen,installeren of veranderen, zelfs niet als admin.

Maar heb je dan nog wat aan je pc als je niet verder komt dan het bureaublad omdat je niets mag openen?

PEBCAC probleempje dus.......

Een paar Real-Time scanners (malware & virus, mensen snappen nog steeds niet dat dat verschillende dingen zijn) mee laten draaien, mits je systeem dit aankan, scheelt bergen.
Maar zelfs dan kan je altijd zelf iets laten installeren, hoe dichtgetimmert je systeem ook is.

[Reactie gewijzigd door Teijgetje op 27 juli 2024 19:41]

Teijgetje @Titan_Fox • 13 september 2014 12:33

Je geeft via de link in de Twitch-chat, waar je op klikt met dollartekens in je ogen, en de site waar je vervolgens je credentials opgeeft, toestemming daarvoor helaas.

Als je mij alle inlogcodes van je bank geeft kan ik daar ook vast wat mee.

Maar dat is dan geen bankbeveiligingsprobleem natuurlijk.

Titan_Fox @Teijgetje • 13 september 2014 13:28

Bij mijn bank werk je met een random reader. Misschien zou Steam ook zo'n systeem moeten bedenken met een chip-reader o.i.d. Zeker als je bedenkt voor welke gigantische bedragen sommige gamers in hun Steam account hebben staan. Een simpele login met toegangscode voldoet dan eigenlijk niet meer.

Teijgetje @Titan_Fox • 13 september 2014 14:11

Bij mijn bank ook....
Maar ik kan ook kleine bedragen laten overmaken/pinnen zonder extra codes.

Maar Steam heeft dat dus ook, two-factor authentication;

Steam Guard

Al helpt dat hier niets, jij hebt de malware zelf op je eigen pc laten zetten.
Verzoeken komen dus uit je eigen pc, welke SteamGuard herkend als vertrouwd, en dus toegang geeft.
Behalve als je elke keer opnieuw die two-factor uit laat voeren (wat weer teveel werk is want het is toch jouw pc van waaruit je inlogt), kan je dit soort sluwe malware voorblijven.

Of gewoon niet overal op klikken waar je denkt gratis rijk te worden zonder ergens aan meegedaan te hebben.

Ik had vanochtend al weer 6x miljardair kunnen zijn als ik de phishingmails moet geloven.

edit; broken link gefixt

[Reactie gewijzigd door Teijgetje op 27 juli 2024 19:41]

Dykam @Teijgetje • 13 september 2014 15:05

Steam Guard helpt hier helemaal niet tegen, het is een eenmalige bevestiging die de PC authorized. Daarna is er geen enkele beperking meer, zolang er maar vanaf die PC met die credentials gewerkt wordt. Een optie om een extra bevestiging aan te zetten is wel wenselijk en al langer gevraagd vanuit de community.

Teijgetje @Dykam • 14 september 2014 00:37

Uit Steam (bovenstaande link hersteld, geen idee hoe die eerst naar T.net kon verwijzen

Wel dat de site bij mij elke keer crashte vanmiddag als ik "wijzig reactie" aanklikte om het bericht te plaatsen, vandaar ook dubbel.)

When Steam Guard is enabled on your account, anyone attempting to login to your Steam account from an unrecognized device must provide additional authorization. A special access code will be sent to your contact email address, and this code must be entered into Steam before your login is complete.

Die extra autorisatie is er dus al, mits er van een vreemd device ingelogd wordt.
Daarom schreef ik ook;
Al helpt dat hier niets, jij hebt de malware zelf op je eigen pc laten zetten.
Verzoeken komen dus uit je eigen pc, welke SteamGuard herkend als vertrouwd, en dus toegang geeft.
Behalve als je elke keer opnieuw die two-factor uit laat voeren (wat weer teveel werk is want het is toch jouw pc van waaruit je inlogt), kan je dit soort sluwe malware voorblijven.

Hoeveel extra autorisaties wil je hebben als je ze vervolgens zelf om zeep helpt? 1000?

Gaat je dan ook niet helpen.
Ik heb geen Steam meer, maar het lijkt me dat je net als bij bv FB de vraag krijgt om het device, waar je mee inlogt en waarvoor je een 2F autorisatie hebt gekregen, altijd als veilig te beschouwen en dus automatisch mee in te loggen.
Dat moet je dus niet doen dan, dan krijg je elke keer een extra code via je mail die je in moet vullen om in te kunnen loggen.

Maar zoals ik al schreef is dat "te veel werk", want jij logt toch in met jouw computer? Die is toch veilig?
Kortom, het blijft PEBCAC, hoeveel autorisaties Steam ook invoert, als je zelf zorgt dat er malware op je pc kan komen die zich zonder dat je het weet zich als jou voordoet.

Dus een goede realtime malwarescanner en een goede realtime virusscanner zijn tegenwoordig een must...........ogenschijnlijk betrouwbare links worden bij mij regelmatig gestopt door bv Malwarebytes.

[Reactie gewijzigd door Teijgetje op 27 juli 2024 19:41]

Dykam @Teijgetje • 14 september 2014 11:26

Wat een onzin. Een gigantische post, maar een simpele oplossing die het compleet voorkomt is een code vereisen per transactie welke wordt gemailed oid. Het probleem is dat momenteel zodra de authorizatie er is, alles op je PC alles kan doen. Dat is nou eenmaal het punt van een computer.

Je zegt dat de PEBCAC is dat je authorizeert. Het probleem is dat die eenmalige authorizatie ook toegang geeft voor programma's om transacties te doen. Een simpele code voorkomt dat compleet. Natuurlijk is er nog PEBCAC, maar het is een gigantische trigger als Steam opeens vraagt om de code, en je een mailtje krijgt dat er een transactieaanvraag gedaan wordt.

Teijgetje @Dykam • 14 september 2014 17:48

Geen enkele 2F autorisatie werkt zo.
Jij wilt elke transacte apart autoriseren nadat je al bevestigd hebt dat jij het bent....3F dus eigenlijk.(Of 4F als de ander dat ook eerst moet autoriseren)
Maar als je met 2F niet op laat slaan dat het een vertrouwd device is (omdat het device niet te vertrouwen is, of de user dan eigenlijk die een beetje onbeveiligd rondklikt) dan ben je er toch al?
Dus wel inloggen met je emailcode maar geen autorisatie geven bij inloggen, dan krijg je elke keer de vraag opnieuw.

Of ben je verplicht te accepteren dat als je de 2Fcode/mail invoert, dat betreffend device automatisch onherroepelijk vertrouwd is?

En je autoriseert je computer als vertrouwd natuurlijk, omdat jij daar mee werkt.
Dat jij alles toegang geeft tot alles, om alles zelfstandig uit te voeren, handelen, bankzaken ed zonder toezicht van jou, is imo een beetje dom dan.
Ik voer zelf de programma`s uit en heb goede scanners die me regelmatig waarschuwen als ik ergens fout terechtkom of een programma ongewenst/ongemerkt installeert/registerwaarden veranderd worden. Die mogelijkheid zit zelfs in Windows.
Ligt de fout dan niet eigenlijk bij jezelf als je (ongemerkt)malware laat installeren die je rekening/codes/wachtwoorden/etc leeg/wegtrekken?

[Reactie gewijzigd door Teijgetje op 27 juli 2024 19:41]

Verwijderd @Dykam • 13 september 2014 22:56

Ik zou het wel okee vinden als er yubi-key support zou zijn voor steam. (De OTP is dan denk ik de beste optie; Kun je je key in je PC laten zitten, iets wat met de challenge-response niet zo'n briljant idee is.).

Verwijderd @Titan_Fox • 13 september 2014 14:10

Gigantische bedragen aan games ja, dit gaat enkel over items.

Dykam @Verwijderd • 13 september 2014 15:03

Het gaat om gigantische bedragen, sommige inventories zijn honderden waard.

Teijgetje @Titan_Fox • 13 september 2014 13:58

dubbel

[Reactie gewijzigd door Teijgetje op 27 juli 2024 19:41]

wizzfrizzle @Titan_Fox • 13 september 2014 12:26

Heeft niets met de Steam beveiliging te maken aangezien de malware inlogt onder jouw Steam credentials vanaf jouw PC. Dus vanuit het Steam oogpunt een legale log-in....

Verwijderd @Titan_Fox • 13 september 2014 14:08

Ja, met een SMS code elke keer als je inlogt. Lekker handig! Je weet echt niet waar je het over hebt, en dat eeuwige Windows gebash is onderhand ook erg zielig aan het worden.

Dykam @Verwijderd • 13 september 2014 15:03

Nou moet ik zeggen dat het wel wenselijk is om te kunnen kiezen voor een extra bevestiging (via code oid.) voor zulke dingen. Niet verplicht, wel optioneel.

ToySoldier1992 @Titan_Fox • 13 september 2014 13:41

Bad troll is bad. Deze hack komt niet van Steam, deze komt van idiote lui die hun wachtwoord van Steam op niet-Steam websites invullen. Los daarvan, als je gewoon zoals het hoort Two-Factor authentication activeert heb je er sowieso geen last van.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (112)

Sorteer op:

Weergave: