Киберэксперт Эндрю Мабитт нашел, пожалуй, самую удивительную систему защиты против пиратства в играх. Он установил, что компания Flight Sim Labs, которая выпускает дополнения и сервисы для авиасимулятора Microsoft Flight Simulator, встроила в свой инсталлятор вредоносный код. Он ворует пароли у тех, кто украл саму игру.
Программа-шпион встраивается в систему и ворует у нарушителей авторских прав имена пользователя и пароли из браузера Chrome. Полученную информацию она отправляет в студии Flight Sim Labs. Как говорит Маббит, который является основателем компании по кибербезопасности Fidus Information Security, это один из самых экстремальных и странных методов защиты DRM, которые он когда-либо видел.
На странное поведение игры также обратили внимание сами пользователи. Один из читателей ресурса Reddit написал, что установка дополнения для самолета A320X, выпущенного Flight Sim Labs, оставляла в системе файл под названием text.exe. После детального анализа он оказался трояном, который похищает пароли. Проверка файла через сервис VirusTotal дает многочисленные срабатывания антивирусов.
В Flight Sim Labs отреагировали на возможный скандал. Основатель и владелец игровой компании Лефтерис Каламара сказал на одном из форумов: «Во-первых, инструменты для разоблачения любой чувствительной информации не используются для тех потребителей, которые легально приобрели наш продукт. Мы осознаем, что вы вкладываете большую доверие в нашу продукцию, и это бы противоречило тому, во что мы верим. Используется специальный метод против серийных номеров, которые определили как пиратские копии и которые распространяются на ресурсах ThePirateBay, RuTracker и других».
Хотя троян срабатывает только после ввода одного из пиратских кодов активации, файлы все равно записываются на каждый компьютер, на котором устанавливают дополнения от Flight Sim Labs, говорит Маббит.
После публикации новости изданием Motherboard Каламарас дополнил свое заявление, сказав, что троянец встроили чтобы поймать одного конкретного пирата. «Мы выяснили с помощью слежения за IP-адресами одного взломщика, который использовал Chrome для доступа на наши сервера, поэтому мы решили получить эту информацию непосредственно. И только его информацию, поскольку мы имели хорошее представление какие серийные номера он использовал. Конечно, мы уже понимаем, что пользователи очень расстроились от этого – мы еще раз сильно извиняемся!».
Сейчас компания выпустила обновление своего установщика, который уже не содержит встроенного троянца.
