Про вирусы в Klauncher
Проверяем лично в различных антивирусных средствах, их установщик с сайта. У данного файла есть цифровая подпись (да, она у них удивительно есть – но про это позже). Поэтому, можно по хешам легко определить, что это их файл (ведь файл подписан цифровой подписью и не был изменен).
Первым проверил через filescan.io, помимо интересного результата Malicious 100%, нас интересуют метки “keylogger”, позже поймете почему.
Далее проверил через tria.ge, получен результат “вирусности” в 8 из 10. Но и здесь нас интересуют метки spyware и trojan.
Теперь проверяем через hybrid-analysis.com, нас интересуют здесь Malicious Indicators, где тоже обнаруживаем метку Spyware.
Я проверял ещё несколькими сайтами похожими, результат плюс минус один и тот же. Как видно, все ставят метки, связанные с кражей данных (spyware и keylogger). Всё достаточно просто, ведь данная программа ворует данные с вашего компьютера, а админы, даже не скрывая этого, раздают ворованное в паблике ВК… Интересно? Сейчас расскажу, как это работает, со всеми ссылками-источниками!
Про ворованные аккаунты Minecraft в Klauncher и заработок
Здесь и далее по тексту, будут идти ссылки на источник + вебархив (на случай, удаления данных постов из их паблика). Ссылка на пост: https://vk.com/wall-195850471_1778 (веб архив: https://web.archive.org/web/20230406173003/https://vk.com/wall-195850471_1778)
Листая их паблик, регулярно натыкался на раздачи, в том числе аккаунтов лицензий Minecraft (именно аккаунтов, чужих очевидно – все понимают, что они ворованные) … Что уже натолкнуло на определенные мысли. Обо всём по порядку, у Mojang (разработчики игры) и у Microsoft (новых владельцев) есть API авторизации, используя их, любая программа может авторизовывать реальные аккаунты с лицензиями (купленной игрой Minecraft) и выступать вместо официального лаунчера игры. Таких лаунчеров очень много, как пиратских, так и только работающих на лицензии.
Справка: что значит аккаунт с полным доступом и доступом через лаунчер. После кражи данных аккаунта, если у человека стоит такой же пароль на почте, то хакер получает аккаунт + почту, это называется “с полным доступом” В случаи “с доступом через лаунчер”, данные есть только от аккаунта, но без почты.
В пиратском лаунчере можно играть без лицензии или с лицензией. Для авторизации под лицензией они используют официальные API. И вот получается интересная ситуация, лаунчер в котором можно ввести свой аккаунт лицензии, раздаёт ворованные аккаунты сотнями в своём паблике VK… Откуда они их взяли, думаю вы уже догадались. Схема выходит любопытная, заманиваем реальных юзеров с лицензиями и крадём данные авторизации, а потом раздаём их в своём паблике, чтобы заманить в программу больше наивных детей…
Изучив их паблик и всё, что они делали публично, видна ориентация на продажу ворованных аккаунтов лицензий Minecraft. Думаю, многим известно, про ворованные аккаунты Steam и Origin с играми, ситуация с Minecraft такая же. В интернете полно сайтов, которые продают такие аккаунты по майнкрафт. Откуда же они их берут? Способов масса, но самый эффективный у данной программы – они сохраняют аккаунты юзеров у себя (причём используют разные способы).
Почти несколько лет, они продавали ворованные аккаунты лицензии Minecraft прямо на своём сайте… Как видно, цена лицензии очень приятная, всего 25 рублей (это старые цены до миграции, теперь гораздо дороже они стоят)… А про покупку “Админа клаунчера” за 10 тыс рублей даже писать сложно, из-за абсурдности, рассчитанной на детей с родительской картой. У них множество бредовых “товаров”, рассчитанных исключительно на маленьких детей.
На всякий случай, у меня есть видео, без склейки, просмотра вебархива этого магазина.
Через некоторое время, они догадались, что так явно раздавать ворованные лицензии своих пользователей палевно. Стали раздавать тайно, не указывая в постах, что раздаются лицензии.
Комментарий из этого же поста.
При этом, очевидно они этого не скрывали, так как поддерживали активность среди любителей халявных ворованных аккаунтов. Делали это “ежедневно” судя по посту. Можно только гадать, сколько раздали таких ворованных аккаунтов.
Ещё парочку таких постов, для примера:
Кстати, в какой-то момент, они прекратили продавать ворованные аккаунты на своём сайте. Похоже осознали, насколько это глупо выглядит. Но явно, просто перешли на чужие площадки по продаже аккаунтов и продают там. Интернет всё помнит, поэтому такой треш с ними навсегда.
Но при этом, можно найти в паблике ВК регулярные сообщения о новых раздачах ворованных аккаунтов, только они это не афишируют, но из комментариев людей к раздачам это понятно (чуть дальше будут скриншоты 2022 года с раздачами аккаунтов).
Ищем отправку данных Microsoft в коде klauncher на левые домены
P.S. Я проверял только одну версию, не известно в каких были самые “сочные” функции по воровству. Всё-таки антивирусы бдят и им приходилось что-то изменять и упрощать. Не говоря уже о том, что произошла миграция аккаунтов с Mojang на Microsoft.
Я хоть и не специалист в Java, но проверить, отправляются ли данные аккаунта Microsoft куда-либо, кроме Microsoft, думаю смогут многие. Скачиваем и устанавливаем klauncher на виртуальную машину, открываем папку с программой и меняем расширение файла klauncher.exe на klauncher.jar. С помощью сайта javadecompilers.com, получаем декомпилированные исходники лаунчера.
Исходники можно открыть через любой редактор, даже через обычный блокнот. Просто открываем файлы по очереди (а лучше используем поиск по файлам) и ищем нужные нам фразы уровня “Microsoft”.
В одном из файлов, нашёлся первый подозрительный URL связанный с Microsoft, имеющий вид https://api.klaun(.)ch/auth_microsoft . Даже по названию понятно, что он работает с данными авторизации…
Справка: домены klaun(.)ch и klauncher(.)ru принадлежат им, это можно увидеть в их паблике VK.
Но давайте чуть-чуть о технической составляющей авторизации, как упоминалось выше, используется api авторизации, подробнее здесь https://learn.microsoft.com/en-us/azure/active-directory/develop/v2-oauth2-auth-code-flow . Если быть кратким, то между программой и api oauth2 microsoft естественно может не быть левых прокладочных сайтов. Вся авторизация происходит на стороне юзера (программы) с серверами Microsoft, не затрагивая никакие другие домены.
Но данная программа (очевидно почему), решила вмешаться в работу api Microsoft и разработало свою прокладку https://api.klaun(.)ch/auth_microsoft для сохранения данных авторизации.
По коду можно найти как данный урл работает с данными Microsoft. То есть их домену отправляются те данные, которые по нормальному ему знать не положено!!!
Никакая нормальная программа при работе с авторизацией Microsoft, не станет слать себе на домен никаких данных авторизации (всё должно хранится только на компьютере юзера, особенно если это касается левой пиратской программы).
Не исследовал эту программу дальше, чем авторизация, с большой вероятностью, она делает много других сомнительных вещей, раз отправляет себе данные авторизации Microsoft.
Посчитать, сколько они зарабатывают на продаже ворованных аккаунтов, очевидно могут только в СК… Я думаю, многие слышали про суд над владельцем сайта продажи читов к играм, возможно, когда-нибудь поймают владельцев таких сайтов с ворованными аккаунтами. Даже если предположить, что они продают в неделю по 2 тыс аккаунтов (с их размахом, это норма), то могут в лёгкую делать по одному миллиону рублей, в реальности думаю гораздо больше.
Куда Klauncher продают ворованные аккаунты Майнкрафт
После того, как перестали продавать ворованные аккаунты Майнкрафт на своём сайте, установить доподлинно новое место (или места) нельзя. Площадок в рунете, где продают ворованные аккаунты масса (думаю и сами в курсе). Они могут продать их где угодно, часто такие площадки не просят даже документы для верификации продавцов.
Прямо сейчас ворованные аккаунты можно найти на plati.ru, где они продаются в разный ценник, к примеру за 100 или 500 рублей.
Интересна ситуация с пожизненной гарантией на такие аккаунты, хоть поменять почту можно, у реального владельца всегда остаётся вариант восстановить его. Да и очевидно, у данного продавца есть неисчерпаемый источник аккаунтов Microsoft с Minecraft…
Особенно радует надпись от администрации данного сайта, что это получено “легальным путем”… Как известно, это же самый выгодный “бизнес”, покупаем на официальном сайте игру за 1500+ рублей и продаём за 500 рублей… А количество возвратов, абсолютно точно подтверждает, источник аккаунтов связан с их “воровством”. Ведь как известно, можно восстановить почту и аккаунт при должном упорстве через поддержку, что реальные владельцы и делают. А уже новые “владельцы”, видя неверный логин и пароль, оформляют возврат на площадке.
Такие аккаунты продавались на Funpay, но с недавнего времени похоже убрали категорию Minecraft (интересно, что случилось).
Интересный факт, совсем недавно все эти взломанные аккаунты с лицензией майнкрафт стоили спокойно 5-10 рублей, но после миграции в Microsoft (были отсеяны аккаунты взломанные), цена выросла в 10-20 раз, что делает сейчас их бизнес крайне доходным.
Искав информацию по взломанным аккаунтам в гугле, можно найти даже гайды (на теневых форумах), как зарабатывать на ворованных аккаунтах Майнкрафт. При этом, там какая-то примитивная схема, через поиск по слитым базам паролей и сравнение их с аккаунта людей майнкрафт. Даже в таком случаи, можно продавать от 1 тыс рублей в день. Размах у ребят с клаунчера гораздо выше.
Почему геймеры вводят лицензию в их лаунчер
Встаёт вопрос, зачем люди используют свой лицензионный аккаунт в левых лаунчерах, на подобии этого? Причин, как мне кажется, достаточно много. В первую очередь, основная масса взлома явно детей, которые не обучены сетевой безопасности (к примеру, используют один пароль везде). Их легко обмануть, пообещав какие-то подарки или ещё что.
Пролистав их паблик, можно легко понять, что раздача чего угодно, основная модель заманивания детей. При этом, у кого нет лицензии и красть нечего, можно просто показывать рекламу или использовать в иных целях.
Что может быть лучше игры? Особенно азартной и запрещенной в РФ, подумали в клаунчер и сделали казино… для детей… Что может быть веселее, детей, крутящих игровые автоматы и рулетку? Просто УЖАС, по-другому не скажешь. Призы, кстати, не денежные, очевидно, а ворованные аккаунты лицензии, как можно догадаться.
Дополнительные посты про это:
Про сервера майнкрафт принадлежащие klauncher
Трудно не заметить, но за все 3 года, регулярно всплывают 3 майнкрафт сервера. На сайте, в паблике ВК, в каждой раздаче и так далее. Конечно же это не просто так, ведь очевидно, эти сервера и принадлежат владельцам этой программы.
Lostmine(.)ru
Risecraft(.)ru
Goneland(.)ru
Помимо бесконечного нахваливания друг друга, они не слишком позаботились, в сокрытии факта владения этими серверами. Ведь достаточно проверить IP адреса серверов и домена лаунчера, чтобы увидеть, что он отличается на 1. Означает, это что оборудование было куплено в одном заказе и получили порядковые IP подряд. Такое случайно не происходит конечно же, по остальным серверам они докуплены позже были.
Так же, этим же людям принадлежал, ныне закрытый, сервер kavmine(.)ru , kavbuy(.)ru , kavworld(.)su. Сервер закрылся, а они начала спамить в паблике https://vk.com/kavmine своими новыми проектами.
Пару ссылок на такие посты из данного паблика:
К чему я веду, через сервера майнкрафт можно тоже угонять аккаунты лицензии, сейчас расскажу всё подробно.
На пиратском сервере, при первом входе необходимо пройти регистрацию, вписав команду /register пароль пароль
Все эти сообщения логируются у владельца сервера, и он видит все пароли юзеров. Далее он просто собирает связку логин+пароль . С помощью API Mojang можно легко проверить все такие аккаунты и найти совпадающие связки, у которых есть лицензия.
Далее такие аккаунты продаются на разных площадках. Но после миграции с Mojang в Microsoft, таким способом сложно стало воровать, и похоже, они решили сделать лаунчер, который будет собирать для них уже аккаунты Microsoft. Старый сервер (возможно, было больше их) закрыть, чтобы меньше связи было.
Поэтому, итоговое количество способов у клаунчер по краже лицензий игры такое:
Через сам лаунчер.
Через их сайт, они заманивают бесплатными плюшками и люди регистрируясь, вводят свои email и пароли. С помощью этих данных они так же ищут связки почта+аккаунт майнкрафт+пароль.
Через свои сервера, они собирают логины и пароль, которые можно в дальнейшем сопоставить с их остальными собранными данными.
Как многие знают, люди часто используют пару связок паролей и такими способами, они узнают разные вариации у одного человека.
С большой вероятностью, они принимают дополнительные меры по сокрытию факта кражи паролей:
Выжидают время, чтобы человек не понял, где он ввёл свой пароль.
Продают не все собранные аккаунты, чтобы не вызывать подозрение, к примеру 10-20%.
Раздавать сворованные аккаунты неактивных юзеров (кто уже не играет).
Очевидно, они не могут украсть аккаунты, у которых включена двухфакторная авторизация Microsoft и почты (поэтому, всегда включайте).
Про цифровую подпись klauncher
Как я уже упоминал выше, в контексте вирусов, программа имеет цифровую подпись (как у нормальной), что повышает доверие от антивирусов (в теории снимает некоторые детекты). Узнать информацию о компании, подписавшей файл очень просто, сделать это можно зайдя в свойства файла -> цифровые подписи -> сведения, там найдем информацию о организации, ей оказалась российская KLAUNCHER LLC:
По ОГРН 1207100009841 отсюда же и публичным данным организаций, легко определяем, что это ООО "Клаунчер" с директором Доронин Андрей Геннадьевич и юридическим адресом: 301760, Тульская обл., город Донской г.о., Центральный мкр., ул. Заводская, д. 2а, КВ. 75
Важная деталь, на самом сайте нельзя найти информацию, указывающую на данное ООО, там просто нет юридической информации. Но в данных цифровой подписи всё есть и это не скрыть (точнее, это уже публичные данные).
Дополнительная информации об ООО КЛАУНЧЕР
При этом, у данного ООО нет никакой выручки за 2022 год, что говорит об отсутствии официальной деятельности за последние годы. То есть, цель создания данного ООО была исключительно в получении цифровой подписи кода самыми дешевыми средствами (даже офис никто не арендовал, юр. адрес в квартире).
Про продажу товаров на их сайте
На сайте есть товары (ворованные аккаунты, ключи и ещё непонятные вещи), которые можно купить за реальные деньги. Но как нам известно, никакой выручки у данного ООО нет, как тогда продаются товары? Можно предположить, что через какое-то ИП, но на сайте отсутствует какая-либо информация о юридической составляющей оплаты. Похоже, используются какие-то схемы через физических лиц на подставных людей, налоги, очевидно, не платят. Да и какие налоги тут могут быть, если это мошенники.
Про рекламу клаунчер в Яндекс
В продолжении, как они собирают юзеров, выбрали ещё один простой способ: закупая рекламу в яндекс на левые домены, причём массово. Так как это не коммерческие запросы, они крайне дешевые и в итоге окупаются с воровства чужих лицензий Майнкрафт с последующей перепродажей.
Klauncher(.)ru
game-minecraft(.)ru
mcdownload(.)ru
minecraft-download(.)org
Вот примерный список их доменов, скорее всего их гораздо больше. Это банальные прокладки с одной кнопкой скачать. Их используется много, чтобы в выдаче было побольше одного и того же. При этом, они даже на одном dns cloudflare висят, обычно там разные названия у ns, а таких совпадений не бывает – они на одном аккаунте cloudflare.
Но и без dns понятно, там везде указан klauncher в подвале сайта и качается именно он (проверить можно по цифровой подписи). Особенно нелепо выглядит надпись про официального дистрибьютора Microsoft, хотя программа пиратская… и адреса левых людей.
И тут встаёт резонный вопрос, а нормально ли Яндексу? Какая-то левая программа делает кучу прокладок, использует явно множество рекламных аккаунтов (скорее всего на левых людей) и забивает рекламную выдачу своими дорвеями с вирусной программой? Раньше дорвеи с вирусами были в органической выдаче Yandex, а теперь в рекламной, деньги не пахнут.
Выводы
Клаунчер – это вирусная программа с воровскими наклонностями, воруя лицензии игры и продавая их, раздавая их в своём паблике ВК, создавая под это всякий треш наподобие казино. Так можно её описать, а если по пунктам:
Раздача ворованных аккаунтов лицензий Minecraft – Доказано (смотреть посты ВК)!
Воровство этих самых лицензионных аккаунтов Minecraft – Доказано (Они это не скрывают со своими раздачами в ВК, плюс наличие исходного кода с отправкой данных авторизации Microsoft на свой домен https://api.klaun(.)ch/auth_microsoft)!
Соответственно klauncher имеет детекты антивирусов Malware, Adware, Spyware – Доказано (смотреть на результаты анализов песочниц)!
Использование мошеннических методов рекламы – Доказано (смотреть про их дорвеи в рекламе яндекс поиска).
Использование ООО исключительно для получения цифровой подписи, неуплата налогов – Доказано (очевидно, мошенники не платят налоги, но всё же).
P.S. Вся информация найдено буквально от их сайта и паблика, банальным гуглением информации, поиском по VK. Предполагаю, есть более скрытые вещи, которые знают люди связанные со сферой игры. Возможно, всё ещё хуже, чем я нашёл.
Морали особой нет, повсюду мошенники которые хотят что-то украсть. Проводите лекции для своих детей по сетевой безопасности, сами не используйте один и тот же пароль везде, включайте двухфакторную авторизацию везде. Всем добра и без взломов!