Kradzież konta zazwyczaj kończy się utratą hasła przez użytkownika. W tym przypadku hackers z całą grą.
Twórcy niektórych spośród milionów gier na platformie Roblox poinformowali serwis 404 Media, że osoby atakujące namówiły ich do uruchomienia jednego pliku. Następnie w ciągu kilku godzin byli świadkami, jak ich grupa, gra oraz saldo Robuxów (waluty platformy) zniknęły na koncie kogoś innego. W kilku przypadkach dział pomocy technicznej Roblox nie pomógł im odzyskać gier, dopóki dziennikarz nie skontaktował się z firmą w celu uzyskania komentarza.
Od entuzjastycznego przyjęcia do wrogiego przejęcia
Ataki w serwisie Roblox miały kiedyś charakter oportunistyczny. „Beamerzy” atakowali poszczególnych graczy, aby ukraść im rzadkie czapki, przedmioty z limitowanych serii oraz konta, a następnie odsprzedawali je. Schemat ten uległ zmianie. Nowymi celami są konta deweloperów, a nagrodą jest sama gra.
Ioannis Matziaris powiedział serwisowi 404 Media, że jego dwaj 20-letni synowie spędzili pięć lat na tworzeniu gry na platformie Roblox zatytułowanej „The Shadow Network”. W kwietniu osoby atakujące skontaktowały się z jednym z nich, proponując mu pracę, i przekonały go do uruchomienia określonego pliku. Było to złośliwe oprogramowanie. Atakujący przejęli kontrolę nad grą, kontem grupy na Robloxie oraz ich saldem Robuxów.
Inny programista, Jovan Rai, otrzymał tę samą propozycję pracy na stanowisku kierownika projektu. Tym razem atakujący podawali się za Cheesy Studios, firmę braci Matziaris, aby uwiarygodnić ofertę. Ten 15-latek zarabiał na swojej grze około 10 000 Robuxów (około 38 dolarów) dziennie. Przez ponad 30 dni próbował odzyskać te środki, zwracając się do działu pomocy technicznej Roblox, zanim zainteresowanie mediów pomogło w dalszym rozwoju sprawy.
Złośliwe oprogramowanie odpowiedzialne za kradzież
Programista Mohamed Kaparoza opisał, jak przebiegał atak. Atakujący skontaktowali się z nim na Discordzie, zaproponowali mu stanowisko kierownika projektu i poprosili o zainstalowanie pakietu w języku Python o nazwie „robase”, który, jak twierdzili, był narzędziem do obsługi baz danych. Krótko po zainstalowaniu pakietu został wylogowany z serwisu Roblox zarówno na komputerze, jak i na telefonie. Stracił również dostęp do swojego konta na Discordzie, a jego ustawienia uwierzytelniania dwuetapowego oraz klucz dostępu zostały zmienione.
W tym przypadku mamy do czynienia z kradzieżą tokenu sesji, a nie z kradzieżą danych uwierzytelniających. Gdy program wykradający dane przejmie uwierzytelnioną sesję przeglądarki, atakujący często mogą ominąć środki bezpieczeństwa, takie jak uwierzytelnianie dwuskładnikowe (2FA), ponieważ ponownie wykorzystują sesję, która została już uwierzytelniona.
Sama technika nie jest nowa. W styczniu 2025 roku informowaliśmy o podobnej kampanii, która była skierowana do graczy Roblox i oferowała im udział w testach beta nowych gier. „Instalator” był w rzeczywistości programem służącym do kradzieży danych, w tym danych sesji na platformach Discord i Steam oraz informacji o portfelach kryptowalutowych.
Co mogą zrobić programiści
Jeśli tworzysz gry na platformie Roblox, porady dotyczące bezpieczeństwa są mało efektowne i dotyczą głównie zachowania.
- Z zachowaniem ostrożności podchodź do niechcianych ofert pracy na Discordzie. Jeśli nieznajomy poprosi cię o zainstalowanie „narzędzia do obsługi baz danych”, niestandardowego instalatora lub jakiegokolwiek innego pliku, nie uruchamiaj go.
- Programiści, którzy muszą przetestować nieznane oprogramowanie, powinni robić to w odizolowanym środowisku, takim jak maszyna wirtualna, a nie na urządzeniu, na którym są zalogowani do serwisów Roblox, Discord, GitHub lub innych ważnych kont.
- Regularnie sprawdzaj aktywne sesje w serwisie Roblox oraz urządzenia, na których jesteś zalogowany, a także włącz funkcje rozszerzonej ochrony serwisu Roblox, jeśli są dostępne. Nie powstrzymają one złośliwego oprogramowania przejmującego sesje, ale mogą pomóc w ochronie przed wieloma innymi formami przejęcia konta.
- Jeśli dojdzie do najgorszego, należy jak najszybciej wszystko udokumentować. Należy zachować zapisy wiadomości, zrzuty ekranu, informacje o zmianach na koncie oraz zgłoszenia do pomocy technicznej, które mogą okazać się pomocne w ewentualnym procesie przywracania danych.
- Korzystaj z oprogramowania zabezpieczającego zapewniającego ochronę w czasie rzeczywistym. Malwarebytes Premium wykrywać i blokować programy wykradające dane oraz inne złośliwe oprogramowanie, zanim doprowadzą one do przejęcia kontroli nad Twoimi kontami.
Nie tylko informujemy o zagrożeniach - my je usuwamy
Zagrożenia cyberbezpieczeństwa nigdy nie powinny wykraczać poza nagłówek. Chroń swoje urządzenia przed zagrożeniami, pobierając Malwarebytes już dziś.
