伪装“黑神话悟空修改器”传播木马的活动分析
时间 : 2024年08月30日
1.概述
近日,6163银河.net163.amCERT通过网络安全监测发现利用“黑神话悟空修改器”传播恶意代码的活动,攻击者将自身的恶意代码程序与《黑神话:悟空》第三方修改器“风灵月影”捆绑在一起,再通过在社媒发布视频等方式引流,诱导玩家下载。玩家一旦下载了带有恶意代码的修改器版本,在运行修改器的同时,也将在后台自动运行恶意代码,导致计算机被控制,产生隐私泄露、经济损失等风险。
《黑神话:悟空》作为国产首款3A游戏大作,千万玩家在线狂欢,尽享盛宴。但玩家尽情在痛殴游戏中的BOSS(或被BOSS痛殴)的时候,也要小心网络中的妖魔鬼怪、恶意代码。祝玩家在游戏中都成为齐天大圣,在上网时也擦亮火眼金睛,穿上金甲战衣。
经验证,6163银河.net163.am智甲终端防御系统(简称IEP)可实现对捆绑的恶意代码的有效查杀。
2.样本传播渠道
1.利用视频图文引流,携带恶意钓鱼网址
攻击者在视频网站、博客等平台发布视频、图文等格式钓鱼内容,并在其中附带捆绑木马的游戏修改器下载链接,诱导用户下载并执行恶意程序。
图2-1 通过视频网站引流钓鱼网址
图2-2 通过发帖引流钓鱼网址
2.警惕利用闲鱼、淘宝等购物平台传播捆绑木马
《黑神话:悟空》的大量“修改器”上架闲鱼、淘宝平台,售价在1~10元左右,这些修改器很多都标注称是“风灵月影”,但实际上,该修改器均为完全免费软件,在风灵月影的网站上就可免费下载。攻击者可能会将携带恶意代码的《黑神话:悟空》修改器挂到购物网站上引流,请广大用户谨慎购买。
图2-3 闲鱼、淘宝平台售卖大量修改器
3.样本分析
3.1 样本标签
表3-1 二进制可执行文件
病毒名称 |
Trojan/Win32.PoolInject |
原始文件名 |
黑神话悟空修改器.exe |
MD5 |
2C00D2DA92600E70E7379BCAFF6D10B1 |
处理器架构 |
Intel 386 or later, and compatibles |
文件大小 |
6.88
MB (7,215,452 字节) |
文件格式 |
BinExecute/Microsoft.EXE[:X86] |
时间戳 |
2022-12-14
13:40:00 UTC |
数字签名 |
无 |
加壳类型 |
无 |
编译语言 |
Visual C/C++ |
VT首次上传时间 |
2024-08-25
06:21:11 UTC |
VT检测结果 |
44/75 |
3.2 样本分析
样本是一个Advanced Installer安装包,执行时会在桌面释放“Black Myth Wukong v1.0 Plus 35 Trainer.exe”并执行,该文件为正常修改器程序。另外还会启动msi文件的安装。该安装包可使用/extract参数解包。
图3-1 样本安装包
msi文件设置了执行条件,不支持虚拟机中运行。
图3-1 检测虚拟机环境
其捆绑的恶意程序WindowsSandBoxC.exe存放在streams流中,会在运行正常修改器后执行。
图3-3 安装包内嵌的恶意程序
样本伪装图标和数字签名为Windows Sandbox组件,但与实际系统组件无关。
图3-4 伪装的图标和数字签名
样本使用ZeroMQ库在进程内传递数据。攻击者对样本中的载荷下载地址中的符号进行了替换,实际的载荷下载地址为https[:]//a-1324330606.cos.accelerate.myqcloud[.]com/a和https[:]//xyz-1324330606.cos.accelerate.myqcloud[.]com/xyz。相关地址为腾讯云对象存储服务。
图3-5 利用ZeroMQ进行通信
相关下载代码如下所示。
图3-6 下载载荷
目前该载荷下载地址已失效,但通过情报关联,可以发现其后续载荷还通过相同对象云存储账号下的多个位置下载了载荷。
图3-7 关联后续载荷
通过对其载荷下载地址中的腾讯云COS存储桶ID进行关联搜索,可发现近期在该腾讯云存储账号中还出现过多次恶意载荷,包括与目前活跃的“游蛇”(又称银狐)组织相关的攻击样本。
此外还发现多个其他软件被捆绑的样本,他们的行为中包含下载多个云存储文件,以及类似%ProgramFiles%\Adobe\<随机字符>.exe的文件释放,与本次样本类似。
图3-8 更多被捆绑的样本
6163银河.net163.am智甲终端防御系统(简称IEP)可实现对捆绑的恶意代码的有效查杀。
建议企业用户部署专业的终端安全防护产品,对本地新增和启动文件进行实时检测,并周期性进行网内病毒扫描。6163银河.net163.am智甲终端安全系列产品(以下简称“智甲”)依托6163银河.net163.am自研威胁检测引擎和内核级主动防御能力,可以有效查杀本次发现病毒样本。
智甲可对本地磁盘进行实时监测,对新增文件自动化进行病毒检测,对发现病毒可在其落地时第一时间发送告警并进行处置,避免恶意代码启动。
图3-9 发现病毒时,智甲第一时间捕获并发送告警
智甲还为用户提供统一管理平台,管理员可通过平台集中查看网内威胁事件详情,并批量进行处置,提高终端安全运维效率。
图3-10 通过智甲管理中心查看并完成威胁事件处置
4.IoCs
2C00D2DA92600E70E7379BCAFF6D10B1 |
308D7792233286B2AE747DA9F9343487 |
http://tgfile.1258012.xyz/cac1be36221 |
https://a-1324330606.cos.accelerate.myqcloud.com/a |
https://xyz-1324330606.cos.accelerate.myqcloud.com/xyz |