详细内容或原文请订阅后点击阅览
“你能测试一下我的游戏吗?”虚假的 itch.io 页面向游戏玩家传播隐藏的恶意软件
一键点击,一团糟。令人信服的“痒痒”风格的页面可能会掉落一个隐秘的舞台而不是游戏。以下是如何发现它以及点击后该怎么做。
来源:Malwarebytes Labs 博客您收到来自 Discord 朋友的消息。或者可能是一位不知名的独立开发者向您伸出援手。 “你能测试一下我的游戏吗?”他们问。
他们通过链接发送的网页看起来合法:屏幕截图、开发简介、itch.io 风格的布局,下载按钮就在那里,等待点击。
问题是这些相似的页面无法为您提供真正的游戏。相反,他们会放置一个隐秘的加载程序,悄悄地为您的 PC 做好应对后续恶意软件的准备。
我们见过的一种诱饵模仿了流行的 2D 平台游戏 Archimoulin(真正的游戏可以在这里找到:nicolasduboc.itch.io/archimoulin)。
nicolasduboc.itch.io/archimoulin他们如何传播它 - 社会工程 101
这个骗局抓住了玩家信任的两件事:朋友和下载。
- 可信的交付渠道。诱惑通常来自您朋友列表中某人的私信,通常是因为攻击者使用了受损的帐户。人们更有可能点击朋友的链接。
- 熟悉的托管和 UI。冒充者使用 Blogspot 子域或云链接以及虚假的 itch-style 页面,以使该网站看起来合法。有时,下载是通过 Dropbox 或人们信任的类似服务提供的。
- 令人信服的登录页面。某些变体首先会呈现一个虚假的 Discord 登录页面来获取凭据。这使得攻击者可以控制您的帐户,他们可以使用该帐户将链接传播到您的联系人。
受害者的 Reddit 帖子一次又一次地展示了这种模式:无害的“测试我的游戏”DM,令人信服的页面,然后帐户接管并向受害者的朋友群发消息。
单击时实际上会发生什么?
这是用户看到的内容,以及隐形加载程序真正在做什么:
- 双击下载的Setup Game.exe,然后……没有任何明显的反应。没有安装程序用户界面,没有进度条。 (这是故意的——攻击者希望在不惊动您的情况下进行安装。)
设置 Game.exe
运行方式
csc.exe
RES*.tmp
C:\Users\\.cache\pkg\...
任务终止
底线:
N
: