一项新的活动利用了毫无戒心的游戏玩家的信任,诱使受害者下载伪装成视频游戏测试版的窃取信息的恶意软件。
Malwarebytes 报告中详细介绍了这项活动,它主要通过 Discord 直接消息、电子邮件或短信来针对用户,这些消息通常以“游戏开发者”寻求测试版测试员的个人请求的形式出现。
针对 Discord 用户
受害者被诱导从 Dropbox、Catbox 甚至 Discord 的内容交付网络 (CDN) 等平台上的链接下载游戏安装程序。
这些存档通常受密码保护,以逃避 AV 工具的检测,其中包含的安装程序会提供恶意软件而不是可玩的游戏。
攻击者使用被盗用的 Discord 帐户来增加骗局的可信度。
有几种信息窃取木马通过这种方式传播,包括 Nova Stealer、Ageo Stealer 和 Hexon Stealer。
这些恶意软件变体都擅长窃取敏感数据,例如:
- - 浏览器存储的凭据;
- - Discord 和 Steam 会话 Cookie;
- - 加密货币钱包详细信息;
- - 保存的密码、自动填充数据和信用卡信息。
Nova 和 Ageo 窃取程序以恶意软件即服务 (MaaS) 的形式运行,威胁行为者将恶意软件和基础设施出租给其他犯罪分子。
这些窃取程序还使用 Discord webhook 将窃取的信息实时直接发送给攻击者。
Hexon Stealer 是恶意软件领域的一个相对较新的参与者,它基于 Stealit Stealer 代码,并拥有窃取双因素身份验证 (2FA) 备份代码和扩展受感染的 Discord 网络等功能。
该活动重点关注 Discord 凭证,这使攻击者能够劫持帐户并操纵用户的社交圈。
被盗凭证可让犯罪分子接触受害者的朋友和联系人,从而伪装成值得信赖的熟人并进一步传播骗局。
这种滚雪球效应有助于攻击者建立更大的受感染帐户网络,从而增加金融盗窃和其他欺诈计划的可能性。
虚假游戏网站
恶意软件的传播主要依赖于虚假游戏网站,其中许多网站采用模板设计,便于复制和部署。
这些网站通常托管在不合作的托管服务上,并受到 Cloudflare 的保护,使得删除工作变得困难。
一些活动还使用 Blogspot 进行托管,利用其标准化模板创建令人信服但恶意的页面。
Malwarebytes 确定了此攻击活动中使用的多个域名。
用户应避免与以下网站进行交互:
- dualcorps[.]fr
- leyamor[.]com
- crystalsiege[.]com
- crystalsiege[.]online
- dungeonofdestiny[.]pages.dev
- mazenugame[.]blogspot.com
- yemozagame[.]blogspot.com
- domenugame[.]blogspot.com
为了防范此类威胁,建议用户确保其防病毒工具是最新的并且在设备上积极运行,确认来自其他平台上的“朋友”或通过直接通信发送的消息,并避免根据请求下载或安装的消息采取行动。
