Le monde de jeux en ligne n'est pas épargné par les cyberattaques. Un représentant du support technique de Blizzard Entertainment, éditeur de World of Warcraft, a déclaré dans un forum de Battle. Net, « nous avons reçu des rapports concernant un dangereux cheval de Troie qui vise à compromettre les comptes des joueurs, même s'ils utilisent une solution d'authentification pour se protéger ». Il ajoute que «  ce trojan agit en temps réel pour voler à la fois les identifiants du compte et le mot de passe d'authentification lors de leur saisie ». Battle.net est le service de jeu en ligne de Blizzard et Battle.net Authenticator est un token phyisque ou une application mobile qui génère des codes uniques utilisés comme une deuxième identification en plus du mot de passe de l'utilisateur.

Une attaque de l'homme du milieu

En interceptant des essais de connexion à Battle.net depuis des ordinateurs infectés, le trojan peut capter à la fois des noms d'utilisateur, des mots de passe et des codes uniques générés par les systèmes d'authentification. Ces codes expirent après leur utilisation. Aussi, le malware bloque le processus d'identification de l'utilisateur et pendant que le joueur s'interroge sur ce qui se passe, les pirates peuvent utiliser les codes pour détourner le compte. Cette méthode est utilisée par les trojans qui permettent aux pirates de contourner les systèmes de double authentification des sites bancaires.

Ce trojan dédié au jeu intègre la présence d'un programme appelé « Disker » ou « Disker64 » dans la liste des applications de démarrage de Windows. Le site Battle.net a mis en ligne la procédure pour accéder à cette liste. Dans une mise à jour sur le forum Battle.net, un autre représentant du support technique a expliqué que la source de l'infection proviendrait d'un faux Curse Client téléchargé sur un faux site, une application tierce pour installer des add-ons pour des jeux comme World of Warcraft. Les utilisateurs qui soupçonnent une infection sont invités à désinstaller le Curse Client et à exécuter une analyse avec Malwarebytes, un outil anti-malware gratuit. Cependant, la plupart des solutions de sécurité doivent maintenant détecter ce trojan, explique le représentant de Blizzard. La société éditrice souligne que malgré ce cas confirmé d'attaques de type man in the middle (un autre avait été découvert en 2012 sous le nom Configuring/HIMYM) « la double authentification protège votre compte dans 99% des cas ».