HackerNews 编译,转载请注明出处:
网络安全公司Palo Alto Networks旗下Unit 42团队警告称,新型Windows恶意软件Blitz正通过含后门的游戏作弊工具包传播,对游戏作弊者发起攻击。该恶意软件诱使安卓游戏玩家在电脑模拟器上使用不公平优势手段。
Blitz恶意软件最早于2024年被发现,至今仍在持续更新版本进行攻击活动。需注意该恶意软件与正规游戏辅助工具Blitz.gg(提供实时数据统计的覆盖应用)无关。
Blitz恶意软件伪装成游戏作弊工具传播,其攻击分为两个阶段:下载器先获取僵尸程序载荷,使黑客获得计算机的全面远程控制权。网络犯罪分子还滥用合法代码托管平台散布虚假作弊工具,曾将恶意软件托管在人工智能代码库Hugging Face Spaces上,并在Telegram等社交平台活跃传播。
Unit 42研究人员在报告中指出:“Blitz幕后操纵者疑似俄语使用者,社交媒体使用代号sw1zzx,此人很可能就是开发者。其通过Telegram渠道散布含后门的游戏作弊工具作为初始感染载体。”
至少存在两波Blitz攻击活动:早期通过仿冒正规软件破解安装包传播,后期转为游戏作弊工具包传播。主要针对热门手游《Standoff 2》玩家(该游戏下载量超1亿次)。
当用户下载含虚假作弊工具的压缩包,解压并运行.exe文件后,Blitz下载器将在后台激活。该工具包内含实际作弊程序(可能是黑客破解所得),针对《Standoff 2》的作弊工具需在安卓模拟器BlueStacks上运行。下载器通过加密和反沙盒检测规避查杀,通过验证后即连接远程服务器获取Blitz僵尸程序。
该僵尸程序可实现全面感染:
键盘记录:窃取密码等敏感数据
屏幕监控:截取用户活动画面
加密货币挖矿:利用CPU秘密挖掘门罗币
DDoS攻击:将设备变为僵尸网络节点
远程命令执行:运行任意指令或下载更多恶意软件
研究人员从某命令控制服务器提取的289个已注册僵尸主机显示,俄罗斯用户占比最高(166例),其次为乌克兰(45例)、白俄罗斯(23例)和哈萨克斯坦(12例)。当Unit 42发布威胁情报后,恶意软件运营者在Telegram发布告别声明并提供了木马清除工具。
Unit 42强调:“强烈建议用户避免下载破解软件及游戏作弊工具,此类行为不仅违反法律伦理,更会使系统面临包括Blitz在内的重大安全风险。”
消息来源: cybernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
