揭露:Fortnite游戏玩家以恶意软件窃取数据为目标区块链
有安全公司发现诈骗者正在使用针对Fortnite游戏玩家的比特币钱包地址的恶意软件。经调查发现,该游戏的在线生态系统后,发现“诈骗者”将恶意数据盗窃代码隐藏在下载中。
前言:
数日前,有安全公司发现诈骗者正在使用针对Fortnite 游戏玩家的比特币(BTC)钱包地址的恶意软件。安全研究人员调查了该游戏的在线生态系统后,发现“诈骗者”将恶意数据盗窃代码隐藏在下载中。 调查显示,所谓的“免费v-buck”(一种游戏中的货币,可以用来购买额外的游戏内容)也隐藏着恶意代码包。这些欺骗性链接是通过诈骗者的youtube频道进行推广的,这些频道会将用户重新定向到隐藏恶意软件的下载中。然后将该文件识别为“特洛伊木马”。然后发现这是一个针对比特币钱包、浏览器会话信息、cookie和其他数据的数据窃取器。
令人难以置信的流行的视频游戏Fortnite的新赛季,也都是骗局。毫无疑问,骗子会跳上这个潮流,渴望兜售他们的假货。
只是这一次,诈骗者的想法比你从未真正实现过的典型的低级调查和下载更危险。在所有肆无忌惮的骗局中,有一个恶意文件准备窃取数据并枚举比特币钱包。
那是怎么找到的?首先,研究人员筛选了一个相当大的免费季节六次传球,据称是“免费”Android版本的Fortnite,这些版本是从开发者的鼻子下泄露出来的,这是一款曾经流行的“免费V-Bucks”用于购买游戏中的其他内容,以及大量伪造的作弊,墙壁和瞄准机。
以下是YouTube的当前状态,例如:
图1.Fortnite搜索结果
这些视频可以带来巨大的数字:这是一个被拉下来的,但在锤子落下之前设法获得了120,000次观看:
图2.120k次浏览
正如预期的那样,几乎所有骗局都遵循典型的调查路线。但埋藏在这一切中的是一个令人讨厌的小数据窃取恶意软件伪装成作弊工具。
以欺骗为借口提供恶意文件就像老学校一样,但是之前从未停止过网络犯罪分子。在这种情况下,潜在的骗子会通过菊花链点击和(最终)一些恶意软件作为分离礼物来品尝自己的药物。
设置场景
提供此骗局的YouTube帐户拥有700多名订阅者,并且相关视频在上传后的当天已经有超过2,200次观看。
图3.Fortnite aimbot视频
单击该链接可将潜在受害者发送到Sub2Unlock上的页面。此网站与典型的调查页面不同,通常会点击优惠或填写问题以获得理论奖励。相反,它要求您首先在发送给您的人的社交门户网站上点击订阅。所以有一个区别,就是蝙蝠。
图4.分解锁
另一个有趣的区别是,任何初始调查页面都要求您在进行调查之前完成一项调查。如果不这样做,您将无法访问下载链接。
在这里,在测试期间没有进行验证。点击订阅按钮只会打开YouTube频道的订阅页面,但没有检查任何内容以确保到实际订阅了。此时所要做的就是返回Sub2Unlock站点并单击下载按钮。
从这里开始,游戏玩家将被带到位于的网站
BT-fortnite秘籍(点)TK
图5.Fortnite作弊网站
这个网站是一个相当好看的门户网站,声称提供了所需的作弊工具,它很有可能说服年轻人合法化。点按一下按钮,潜在的受害者被带到一个更通用的下载网站,其中包含看似很多文件以及各种广告。
图6.Fortnite恶意软件下载链接
至于有问题的恶意文件,在撰写本文时,已经发生了1,207次下载。那是1,207次下载太多了。
文件信息
研究人员将此文件检测为Trojan.Malpack,这是对可疑文件包含的一般检测。实际的有效载荷可以是任何东西,但它总是没有好处。在这种情况下,一点点挖掘并展示了有效载荷是数据窃取者。
一旦初始.EXE(重量仅为168KB)在目标系统上运行,它就会对受感染计算机特定的详细信息执行一些基本枚举。然后,它尝试通过POST命令将数据发送到俄罗斯联邦的/index.php文件,由IP地址5(点)101(点)78(点)169提供。
它需要关注的一些最值得注意的事情是浏览器会话信息,cookie,比特币钱包以及Steam会话。
图7.一个抓包
奇怪的是,这也将此写入到这个的测试系统:
图8.广播电台
......感恩的死,有人吗?
对于类似命名主题的文件,已经多次看到上面的IP地址。
可以看到的很多类似于这个的文件都以完全不同的方式包装。其中一个有一个名为“Stealer.exe”的进程。更多的被盗信息发布到gate.php而不是index.php,这是Zbot和其他一些的常见标志。
虽然这个博客的主题可能不是那么新,但它仍然会对运行它的任何人造成相当大的损害。将它与当前发烧的新Fortnite内容相结合,是一个被盗数据的配方,之后需要大量的清理工作。
作为最后一点,应该提一下偷窃者随附的自述文件广告,可以为“80美元的比特币”购买额外的Fortnite作弊。
考虑到上面的事情被淘汰,建议任何想要欺骗的人都要避开这个。获胜很棒,但绝对不值得冒很大一部分个人信息来完成工作。
1.TMT观察网遵循行业规范,任何转载的稿件都会明确标注作者和来源;
2.TMT观察网的原创文章,请转载时务必注明文章作者和"来源:TMT观察网",不尊重原创的行为TMT观察网或将追究责任;
3.作者投稿可能会经TMT观察网编辑修改或补充。