Эта работа — не про слабое место в Steam. Клиент Valve оказался стойким: когда я попробовал тронуть его изнутри, он восстановил себя при следующем запуске, как если бы ничего не произошло. Попытка хрупкая, не живёт и минуты.
Живут две другие дороги, и они обе проходят снаружи Steam — через доверие операционной системы. Если у атакующего уже есть ключ от самой машины жертвы (а именно так выглядит современный мошеннический сценарий — сначала жертву уговаривают запустить «установщик»), то он кладёт в комнату собственное зеркало: когда жертва нажимает «помощь / служба поддержки Steam» — Steam честно открывает настоящий адрес, а встречает его там подделка, которая выглядит как Valve до последнего пикселя. TLS-замок зелёный, адрес настоящий, страница — чужая.
Это не баг Valve. Steam, как и любой современный клиент (Chrome, Edge, Discord, Zoom), доверяет сертификатам операционной системы. Кто владеет OS — владеет зеркалами. Моя работа — показать Valve и анти-фрод командам, как именно это выглядит с точки зрения жертвы. Не чтобы ломать, а чтобы искать эти схемы у настоящих мошенников по сигналам — они пользуются ровно этим механизмом, подсаживая людей на поддельный «сброс Steam Guard».
Упакованы два варианта доставки подделки — чтобы показать, как она выглядит «в упаковке». Обе версии подписаны, обе маскируются под легальные архивы или ярлыки документов — ровно та упаковка, которую ищут аналитики фишинг-кампаний.