網絡罪犯的詭計日新月異,而針對遊戲玩家也並非首次,而專門製作一款遊戲去散播惡意程式就是聞所未聞,以加密遊戲玩家作為目標,在社交媒體上的活躍程度,甚至更勝遊戲原來的版本。
Google Chrome上的後門和零時差漏洞
在2024年Kaspersky的保安方案在一名俄羅斯用戶的電腦上偵測到Manuscrypt後門程式,該後門程式家族的不同版本自2013年起都被Lazarus APT組織所使用,不過組織通常針對大型機構,例如:銀行、IT公司、大學,甚至政府部門,但這次竟然攻擊用戶個體,在個人電腦植入後門,因此引起了研究人員的興趣,並發現網絡犯罪份子誘騙受害者到一個遊戲網站,藉此取得他們的系統完全存取,當中全靠以下三件事:
- 受害者無法抗距以新形式玩坦克遊戲的渴望
- Google Chrome上的零時差安全漏洞
- 一個在Google Chrome流程中讓遙距執行程式碼的漏洞
幸好Google現在已經更新瀏覽器,封鎖該遊戲網站,有關Manuscrypt後門程式和安全漏洞的詳情,可以瀏覽Secrelist。
虛假帳號
在開始調查時,研究人員懷疑犯罪份子是否真的製作了整隻遊戲只為進行詐騙,隨後他們發現犯罪份子的遊戲《DeTankZone》,其實是基於已經存在的遊戲《DeFiTankLand》,他們通過盜竊源代碼,然後為他們的偽造遊戲創立假社交媒體帳號。在同一時間,《DeFiTankLand》的加密貨幣假值暴跌,遊戲開發商聲稱他們的冷錢包被入侵,「某人」盜竊了2萬元,而犯人的身份至今仍是個謎,開發者相信涉及內部人士,但研究人員懷疑Lazarus與事件有關。
網絡犯罪份子出盡力對他們的遊戲展開推廣,在X平台上追隨者急速增長,更向合作的KOL (潛在受害者)推供數百加密貨幣,在LinkedIn建立進階帳戶,並準備了很多波釣魚電郵,結果假遊戲在X平台上吸引到比原作更多的追隨者。
無法正常連線伺服器
惡意的網站除了有瀏覽器的零時差安全漏洞,還有一個Beta版本的遊戲,研究人員下載了該400MB的壓縮檔,看似十分正常,檔案架構、標誌、UI元素和3D模型紋理都齊存,在《DeTankZone》的開始畫面中會要求輸入電郵地址和密碼,研究人員曾嘗試最常見的密碼,例如「12345」和「password」都不能運作,唯有重新注冊一個新帳號,可惜仍然不能遊玩,於是研究人員對編碼進行逆向工程,發現問題出現在連線遊遊戲伺服器,所以這個假的版本無法運作,不過理論上遊戲仍然可以遊玩,於是研究人員花了一點時間和編程,取代黑客伺服器後就能正式開始遊戲。
小心看似無害的陷阱
在這次的事件中告訴我們,看似無害的網絡連結,結果可導致整台電腦被入侵,網絡犯罪份子持續改良他們的策略和方法,Lazarus已經使用生成AI取得一點成功,這意味著將來會出現更精密的攻擊。用戶方面應該所有裝置都受保安方案所保護,並瞭解最新的詐騙技倆。
資料來源:Kaspersky Blog