详细内容或原文请订阅后点击阅览
“你能试试我做的游戏吗?”虚假游戏网站引来信息窃取者
邀请试用测试版会将受害者引导至一个虚假的游戏网站,受害者将获得信息窃取程序,而不是承诺的游戏
来源:Malwarebytes Labs 博客本博客的背景和 IOC 由我们论坛上的专家助手和 Malwarebytes 研究人员收集。我们向他们表示感谢。
本博客的背景和 IOC 由我们论坛上的专家助手和 Malwarebytes 研究人员收集。我们向他们表示感谢。一种新的恶意活动正在网上进行,它开始很简单:不知情的目标在 Discord 服务器上收到直接消息 (DM),询问他们是否有兴趣对新视频游戏进行 Beta 测试(目标也可以收到短信或电子邮件)。通常,消息来自“开发者”自己,因为询问您是否可以尝试他们亲自制作的游戏是引诱受害者的常用方法。
如果感兴趣,受害者将收到包含承诺安装程序的存档的下载链接和密码。
档案可在 Dropbox、Catbox 等各种位置下载,通常还可在 Discord 内容交付网络 (CDN) 上下载,使用受感染的帐户可增加额外的可信度。
目标实际下载和安装的实际上是信息窃取木马。
有几种变体。有些使用 NSIS 安装程序,但我们也看到了 MSI 安装程序。还有各种信息窃取程序通过这些渠道传播,如 Nova Stealer、Ageo Stealer 或 Hexon Stealer。
Nova Stealer 和 Ageo Stealer 是一种恶意软件即服务 (MaaS) 窃取程序,犯罪分子将恶意软件和基础设施出租给其他犯罪分子。它专门窃取存储在大多数浏览器中的凭据、窃取 Discord 和 Steam 等平台的会话 cookie 以及与加密货币钱包相关的信息。
会话 cookie 窃取Nova Stealer 基础设施的一部分是 Discord webhook,它允许犯罪分子让服务器在发生特定事件时向客户端发送数据。因此他们不必定期检查信息,只要信息进入,他们就会收到警报。