揭露:Fortnite游戲玩家以惡意軟件竊取數(shù)據(jù)為目標(biāo)區(qū)塊鏈
有安全公司發(fā)現(xiàn)詐騙者正在使用針對(duì)Fortnite游戲玩家的比特幣錢包地址的惡意軟件。經(jīng)調(diào)查發(fā)現(xiàn),該游戲的在線生態(tài)系統(tǒng)后,發(fā)現(xiàn)“詐騙者”將惡意數(shù)據(jù)盜竊代碼隱藏在下載中。
前言:
數(shù)日前,有安全公司發(fā)現(xiàn)詐騙者正在使用針對(duì)Fortnite 游戲玩家的比特幣(BTC)錢包地址的惡意軟件。安全研究人員調(diào)查了該游戲的在線生態(tài)系統(tǒng)后,發(fā)現(xiàn)“詐騙者”將惡意數(shù)據(jù)盜竊代碼隱藏在下載中。 調(diào)查顯示,所謂的“免費(fèi)v-buck”(一種游戲中的貨幣,可以用來購(gòu)買額外的游戲內(nèi)容)也隱藏著惡意代碼包。這些欺騙性鏈接是通過詐騙者的youtube頻道進(jìn)行推廣的,這些頻道會(huì)將用戶重新定向到隱藏惡意軟件的下載中。然后將該文件識(shí)別為“特洛伊木馬”。然后發(fā)現(xiàn)這是一個(gè)針對(duì)比特幣錢包、瀏覽器會(huì)話信息、cookie和其他數(shù)據(jù)的數(shù)據(jù)竊取器。
令人難以置信的流行的視頻游戲Fortnite的新賽季,也都是騙局。毫無疑問,騙子會(huì)跳上這個(gè)潮流,渴望兜售他們的假貨。
只是這一次,詐騙者的想法比你從未真正實(shí)現(xiàn)過的典型的低級(jí)調(diào)查和下載更危險(xiǎn)。在所有肆無忌憚的騙局中,有一個(gè)惡意文件準(zhǔn)備竊取數(shù)據(jù)并枚舉比特幣錢包。
那是怎么找到的?首先,研究人員篩選了一個(gè)相當(dāng)大的免費(fèi)季節(jié)六次傳球,據(jù)稱是“免費(fèi)”Android版本的Fortnite,這些版本是從開發(fā)者的鼻子下泄露出來的,這是一款曾經(jīng)流行的“免費(fèi)V-Bucks”用于購(gòu)買游戲中的其他內(nèi)容,以及大量偽造的作弊,墻壁和瞄準(zhǔn)機(jī)。
以下是YouTube的當(dāng)前狀態(tài),例如:
圖1.Fortnite搜索結(jié)果
這些視頻可以帶來巨大的數(shù)字:這是一個(gè)被拉下來的,但在錘子落下之前設(shè)法獲得了120,000次觀看:
圖2.120k次瀏覽
正如預(yù)期的那樣,幾乎所有騙局都遵循典型的調(diào)查路線。但埋藏在這一切中的是一個(gè)令人討厭的小數(shù)據(jù)竊取惡意軟件偽裝成作弊工具。
以欺騙為借口提供惡意文件就像老學(xué)校一樣,但是之前從未停止過網(wǎng)絡(luò)犯罪分子。在這種情況下,潛在的騙子會(huì)通過菊花鏈點(diǎn)擊和(最終)一些惡意軟件作為分離禮物來品嘗自己的藥物。
設(shè)置場(chǎng)景
提供此騙局的YouTube帳戶擁有700多名訂閱者,并且相關(guān)視頻在上傳后的當(dāng)天已經(jīng)有超過2,200次觀看。
圖3.Fortnite aimbot視頻
單擊該鏈接可將潛在受害者發(fā)送到Sub2Unlock上的頁(yè)面。此網(wǎng)站與典型的調(diào)查頁(yè)面不同,通常會(huì)點(diǎn)擊優(yōu)惠或填寫問題以獲得理論獎(jiǎng)勵(lì)。相反,它要求您首先在發(fā)送給您的人的社交門戶網(wǎng)站上點(diǎn)擊訂閱。所以有一個(gè)區(qū)別,就是蝙蝠。
圖4.分解鎖
另一個(gè)有趣的區(qū)別是,任何初始調(diào)查頁(yè)面都要求您在進(jìn)行調(diào)查之前完成一項(xiàng)調(diào)查。如果不這樣做,您將無法訪問下載鏈接。
在這里,在測(cè)試期間沒有進(jìn)行驗(yàn)證。點(diǎn)擊訂閱按鈕只會(huì)打開YouTube頻道的訂閱頁(yè)面,但沒有檢查任何內(nèi)容以確保到實(shí)際訂閱了。此時(shí)所要做的就是返回Sub2Unlock站點(diǎn)并單擊下載按鈕。
從這里開始,游戲玩家將被帶到位于的網(wǎng)站
BT-fortnite秘籍(點(diǎn))TK
圖5.Fortnite作弊網(wǎng)站
這個(gè)網(wǎng)站是一個(gè)相當(dāng)好看的門戶網(wǎng)站,聲稱提供了所需的作弊工具,它很有可能說服年輕人合法化。點(diǎn)按一下按鈕,潛在的受害者被帶到一個(gè)更通用的下載網(wǎng)站,其中包含看似很多文件以及各種廣告。
圖6.Fortnite惡意軟件下載鏈接
至于有問題的惡意文件,在撰寫本文時(shí),已經(jīng)發(fā)生了1,207次下載。那是1,207次下載太多了。
文件信息
研究人員將此文件檢測(cè)為Trojan.Malpack,這是對(duì)可疑文件包含的一般檢測(cè)。實(shí)際的有效載荷可以是任何東西,但它總是沒有好處。在這種情況下,一點(diǎn)點(diǎn)挖掘并展示了有效載荷是數(shù)據(jù)竊取者。
一旦初始.EXE(重量?jī)H為168KB)在目標(biāo)系統(tǒng)上運(yùn)行,它就會(huì)對(duì)受感染計(jì)算機(jī)特定的詳細(xì)信息執(zhí)行一些基本枚舉。然后,它嘗試通過POST命令將數(shù)據(jù)發(fā)送到俄羅斯聯(lián)邦的/index.php文件,由IP地址5(點(diǎn))101(點(diǎn))78(點(diǎn))169提供。
它需要關(guān)注的一些最值得注意的事情是瀏覽器會(huì)話信息,cookie,比特幣錢包以及Steam會(huì)話。
圖7.一個(gè)抓包
奇怪的是,這也將此寫入到這個(gè)的測(cè)試系統(tǒng):
圖8.廣播電臺(tái)
......感恩的死,有人嗎?
對(duì)于類似命名主題的文件,已經(jīng)多次看到上面的IP地址。
可以看到的很多類似于這個(gè)的文件都以完全不同的方式包裝。其中一個(gè)有一個(gè)名為“Stealer.exe”的進(jìn)程。更多的被盜信息發(fā)布到gate.php而不是index.php,這是Zbot和其他一些的常見標(biāo)志。
雖然這個(gè)博客的主題可能不是那么新,但它仍然會(huì)對(duì)運(yùn)行它的任何人造成相當(dāng)大的損害。將它與當(dāng)前發(fā)燒的新Fortnite內(nèi)容相結(jié)合,是一個(gè)被盜數(shù)據(jù)的配方,之后需要大量的清理工作。
作為最后一點(diǎn),應(yīng)該提一下偷竊者隨附的自述文件廣告,可以為“80美元的比特幣”購(gòu)買額外的Fortnite作弊。
考慮到上面的事情被淘汰,建議任何想要欺騙的人都要避開這個(gè)。獲勝很棒,但絕對(duì)不值得冒很大一部分個(gè)人信息來完成工作。
1.TMT觀察網(wǎng)遵循行業(yè)規(guī)范,任何轉(zhuǎn)載的稿件都會(huì)明確標(biāo)注作者和來源;
2.TMT觀察網(wǎng)的原創(chuàng)文章,請(qǐng)轉(zhuǎn)載時(shí)務(wù)必注明文章作者和"來源:TMT觀察網(wǎng)",不尊重原創(chuàng)的行為TMT觀察網(wǎng)或?qū)⒆肪控?zé)任;
3.作者投稿可能會(huì)經(jīng)TMT觀察網(wǎng)編輯修改或補(bǔ)充。
