Met 54 miljoen gebruikers is Steam het grootste distributieplatform voor games en daardoor een aantrekkelijk doelwit voor cybercriminelen. Het is dan ook niet verwonderlijk dat een nieuwe variant van de Ramnit malware zich op Steamgebruikers richt. Dat laat het onlangs overgenomen beveiligingsbedrijf Trusteer weten.

Ramnit gebruikt HTML-injectie om Steam aan te vallen, waarbij het de wachtwoordencryptie van het platform omzeilt en ook aan de serverkant geen sporen achterlaat. De inloggegevens van Steamgebruikers zijn al jaren het doelwit van phishingaanvallen. Ramnit gebruikt een Man-in-the-Browser (MitB) om de gebruikersnaam en het wachtwoord buit te maken.

Zodra een Steamgebruiker inlogt wordt het webformulier versleuteld met de publieke sleutel van de website. Om deze encryptie aan de clientkant te voorkomen injecteert Ramnit een request voor het wachtwoord om de data vervolgens in platte tekst op te kunnen vangen.

Detectie

Dit zorgt ook voor een probleem, omdat de Steamserver het geïnjecteerde request niet verwacht en wat als manier kan worden gebruikt om de MitB te detecteren. Daarom zorgt Ramnit ervoor dat de server het toegevoegde element nooit te zien krijgt. De werkwijze lijkt onnodig veel werk, aangezien Ramnit ook over een keylogger beschikt.

Analist Etay Maor merkt op dat het gebruik van een "form grabber" ervoor zorgt dat de cybercrimineel de verzamelde gegevens eenvoudig kan indexeren. Een keylogger vereist meer werk, aangezien een mens nog door de opgeslagen data moet gaan om het kaf van het koren te scheiden.