TMT观察网_独特视角观察TMT行业

前言：

數日前，有安全公司發現詐騙者正在使用針對Fortnite 游戲玩家的比特幣（BTC）錢包地址的惡意軟件。安全研究人員調查了該游戲的在線生態系統后，發現“詐騙者”將惡意數據盜竊代碼隱藏在下載中。 調查顯示，所謂的“免費v-buck”(一種游戲中的貨幣，可以用來購買額外的游戲內容)也隱藏著惡意代碼包。這些欺騙性鏈接是通過詐騙者的youtube頻道進行推廣的，這些頻道會將用戶重新定向到隱藏惡意軟件的下載中。然后將該文件識別為“特洛伊木馬”。然后發現這是一個針對比特幣錢包、瀏覽器會話信息、cookie和其他數據的數據竊取器。

令人難以置信的流行的視頻游戲Fortnite的新賽季，也都是騙局。毫無疑問，騙子會跳上這個潮流，渴望兜售他們的假貨。

只是這一次，詐騙者的想法比你從未真正實現過的典型的低級調查和下載更危險。在所有肆無忌憚的騙局中，有一個惡意文件準備竊取數據并枚舉比特幣錢包。

那是怎么找到的？首先，研究人員篩選了一個相當大的免費季節六次傳球，據稱是“免費”Android版本的Fortnite，這些版本是從開發者的鼻子下泄露出來的，這是一款曾經流行的“免費V-Bucks”用于購買游戲中的其他內容，以及大量偽造的作弊，墻壁和瞄準機。

以下是YouTube的當前狀態，例如：

圖1.Fortnite搜索結果

這些視頻可以帶來巨大的數字：這是一個被拉下來的，但在錘子落下之前設法獲得了120,000次觀看：

圖2.120k次瀏覽

正如預期的那樣，幾乎所有騙局都遵循典型的調查路線。但埋藏在這一切中的是一個令人討厭的小數據竊取惡意軟件偽裝成作弊工具。

以欺騙為借口提供惡意文件就像老學校一樣，但是之前從未停止過網絡犯罪分子。在這種情況下，潛在的騙子會通過菊花鏈點擊和（最終）一些惡意軟件作為分離禮物來品嘗自己的藥物。

設置場景

提供此騙局的YouTube帳戶擁有700多名訂閱者，并且相關視頻在上傳后的當天已經有超過2,200次觀看。

圖3.Fortnite aimbot視頻

單擊該鏈接可將潛在受害者發送到Sub2Unlock上的頁面。此網站與典型的調查頁面不同，通常會點擊優惠或填寫問題以獲得理論獎勵。相反，它要求您首先在發送給您的人的社交門戶網站上點擊訂閱。所以有一個區別，就是蝙蝠。

圖4.分解鎖

另一個有趣的區別是，任何初始調查頁面都要求您在進行調查之前完成一項調查。如果不這樣做，您將無法訪問下載鏈接。

在這里，在測試期間沒有進行驗證。點擊訂閱按鈕只會打開YouTube頻道的訂閱頁面，但沒有檢查任何內容以確保到實際訂閱了。此時所要做的就是返回Sub2Unlock站點并單擊下載按鈕。

從這里開始，游戲玩家將被帶到位于的網站

BT-fortnite秘籍（點）TK

圖5.Fortnite作弊網站

這個網站是一個相當好看的門戶網站，聲稱提供了所需的作弊工具，它很有可能說服年輕人合法化。點按一下按鈕，潛在的受害者被帶到一個更通用的下載網站，其中包含看似很多文件以及各種廣告。

圖6.Fortnite惡意軟件下載鏈接

至于有問題的惡意文件，在撰寫本文時，已經發生了1,207次下載。那是1,207次下載太多了。

文件信息

研究人員將此文件檢測為Trojan.Malpack，這是對可疑文件包含的一般檢測。實際的有效載荷可以是任何東西，但它總是沒有好處。在這種情況下，一點點挖掘并展示了有效載荷是數據竊取者。

一旦初始.EXE（重量僅為168KB）在目標系統上運行，它就會對受感染計算機特定的詳細信息執行一些基本枚舉。然后，它嘗試通過POST命令將數據發送到俄羅斯聯邦的/index.php文件，由IP地址5（點）101（點）78（點）169提供。

它需要關注的一些最值得注意的事情是瀏覽器會話信息，cookie，比特幣錢包以及Steam會話。

圖7.一個抓包

奇怪的是，這也將此寫入到這個的測試系統：

圖8.廣播電臺

......感恩的死，有人嗎？

對于類似命名主題的文件，已經多次看到上面的IP地址。

可以看到的很多類似于這個的文件都以完全不同的方式包裝。其中一個有一個名為“Stealer.exe”的進程。更多的被盜信息發布到gate.php而不是index.php，這是Zbot和其他一些的常見標志。

雖然這個博客的主題可能不是那么新，但它仍然會對運行它的任何人造成相當大的損害。將它與當前發燒的新Fortnite內容相結合，是一個被盜數據的配方，之后需要大量的清理工作。

作為最后一點，應該提一下偷竊者隨附的自述文件廣告，可以為“80美元的比特幣”購買額外的Fortnite作弊。

考慮到上面的事情被淘汰，建議任何想要欺騙的人都要避開這個。獲勝很棒，但絕對不值得冒很大一部分個人信息來完成工作。