Компания FlightSimLabs, специализирующаяся на разработке дополнений к популярным компьютерным авиасимуляторам, внедрила в установщик вредоносную программу, которая копирует сохраненные пароли пользователя из Google Chrome и отсылает их на сервер разработчика через незащищенное соединение. После того, как пользователи обнаружили это, представители компании заявили, что программа запускалась только при вводе пиратского серийного ключа и предназначалась для сбора информации о пиратах, распространяющих игру с нарушением авторских прав, сообщает Motherboard.
Разработчики программного обеспечения, в том числе компьютерных игр, часто лишаются прибыли из-за компьютерного пиратства. Для защиты от пиратов одни компании совершенствуют системы защиты своих программ, затрудняя их взлом, а другие иногда вместо защиты от нелегального запуска используют иные решения — например, доставляют неудобства пользователям, не купившим игру. К примеру, создатели Grand Theft Auto IV предусмотрели проверку подлинности, которая через несколько минут после обнаружения нелегальной копии игры заставляла камеру за персонажем постоянно качаться.
Программисты FlightSimLabs также предусмотрели для пиратов необычную особенность и добавили в установщик дополнения вредоносную программу, отсылающую на сервер разработчиков пароли пользователя из Google Chrome. Изначально об этом рассказал пользователь Reddit, который обнаружил, что установщик распаковывает на компьютер файл test.exe, который на самом деле является переименованной утилитой Chrome Password Dump. Она позволяет извлекать из базы данных браузера Google Chrome сохраненные логины и пароли.
Это сообщение вызвало большую дискуссию на Reddit, которой заинтересовались специалисты по информационной безопасности из компании Fidus Information Security. Они проанализировали процесс установки дополнения и выяснили, что установщик может запускать вредоносную программу, преобразовывать полученную информацию о паролях в Base64-запись и пересылать на сторонний сервер по незащищенному протоколу HTTP. Также исследователи обнаружили, что в 2017 году служба поддержки рекомендовала пользователям отключать антивирус во время установки, потому что он может воспринять некоторые файлы как вирус.
Разработчики довольно быстро отреагировали на обвинения пользователей и опубликовали несколько сообщений на своем форуме. Изначально они рассказали, что вредоносная программа запускается только при вводе пиратского серийного номера, который был замечен на популярных пиратских ресурсах. В случае, если пользователь ввел корректный серийный номер, установщик удаляет вредоносную программу.
Через некоторое время они опубликовали новое объяснение случившегося и рассказали, что пытались поймать конкретного пирата, который распространяет нелегальные копии игры, и за счет собранных данных планировали получить доступ к сайтам, связанным с нарушениями авторских прав. Во втором объяснении компания все же принесла извинения добросовестным пользователям, на компьютеры которых распаковывалась вредоносная программа.
На данный момент достоверно не выявлено, использовалось ли вредоносное программное обеспечение для массового сбора логинов и паролей пользователей. Также неясно, будут ли какие-либо юридические последствия для FlightSimLabs — умышленное распространение вредоносного программного обеспечения, не говоря уже о краже конфиденциальной информации, считается преступлением во многих странах мира.
Пираты, в свою очередь, тоже порой страдают от отсутствия денежных средств и ищут новые пути заработка. Так, в прошлом году администрация пиратского сайта The Pirate Bay решила бороться с падением доходов из-за блокирующих рекламу пользователей довольно необычным способом — на страницы сайта встроили скрытый майнер криптовалюты, который использовал мощности компьютеров пользователей. Спустя некоторое время похожие скрипты стали появляться и на других сайтах.
Григорий Копиев