热衷游戏作弊及破解？小心下载了恶意软件

9月15日，卡巴斯基发布了一篇研究报告，表示注意到一种针对游戏作弊玩家的恶意捆绑包，该捆绑包通过YouTube上宣传作弊及破解的视频分享链接下载，内含RedLineStealer信息窃取恶意软件和挖矿木马。而不同寻常的是，该捆绑包能够利用受害者的YouTube账号继续上传作弊及破解视频，从而进行裂变式传播。

相关视频涉及的游戏包括全面通缉、穿越火线、DayZ、消逝的光芒、F1® 22、模拟农场、Farthest Frontier、FIFA 22、最终幻想XIV、Forza、乐高星球大战、Osu!等。

RedLine窃取器于2020年3月首次被发现，是目前最常见的木马之一。该恶意软件允许攻击者窃取多种敏感信息，包括存储在浏览器中的用户名、密码、Cookie、银行卡详细信息和自动填充数据，加密钱包、即时通讯工具和FTP / SSH / VPN客户端数据，以及受感染设备上特定扩展名的文件。此外，RedLine还能够下载和运行第三方程序，以cmd.exe执行命令以及在默认浏览器中打开链接。该恶意软件在地下黑客论坛上公开售卖，较之其他恶意软件，价格相对低廉，仅需几百美元。

用户通过视频附带的链接下载的原始压缩包是一个自解压的RAR档案，其中包含恶意文件和自动运行解压缩内容的脚本。

受害者双击自解压文件时，将会运行三个可执行文件：第一个是上文提到的RedLine窃取器，第二个是加密货币挖矿木马，最后一个可执行文件则会将自身复制到%APPDATA%MicrosoftWindowsStart MenuProgramsStartup目录，以确保自动启动并运行第一个批处理文件。

批处理文件会依次运行其他三个恶意文件：MakiseKurisu.exe、download.exe和upload.exe。这三个恶意文件分别负责提取Cookie以登陆受害者的YouTube账号、下载相关视频、上传视频至YouTube。

而且，如果这些受害者在YouTube平台上不是很活跃，他们甚至有可能长时间都无法意识到他们正在YouTube上推广恶意软件。这种裂变式的传播方法使得YouTube上的审查和删除变得更加困难，因为附带恶意软件下载链接的视频大部分是从无违规记录的帐户上传的。

据统计，从2021年7月1日至2022年6月30日，遭遇与游戏相关的恶意软件和垃圾软件的用户总数接近385000，其中超过91000个文件以Minecraft、Roblox、极品飞车、侠盗猎车手和使命召唤等游戏的名义分发。因此，对于游戏作弊和破解工具，最好保持一个谨慎的心态。

编辑：左右里

资讯来源：Kaspersky

转载请注明出处和本文链接

每日涨知识

虚拟机逃逸

指突破虚拟机的限制，实现与宿主机操作系统交互的一个过程，攻击者可以通过虚拟机逃逸感染宿主机或者在宿主机上运行恶意软件。

原文始发于微信公众号（汇编语言）：热衷游戏作弊及破解？小心下载了恶意软件