警惕:虚假 itch.io 游戏页面窃取玩家账户并传播恶意软件

警惕:虚假 itch.io 游戏页面窃取玩家账户并传播恶意软件

针对 Itch.io 用户的诈骗活动日益猖獗

Malwarebytes最近的报告引起了人们对独立平台Itch.io上游戏社区的令人不安的骗局的关注。该骗局的实施者利用玩家和独立开发者之间的信任,冒充热门游戏(例如 Archimoulin 游戏)进行诈骗。

骗局如何运作

诈骗者首先会在 Discord 等可信通信平台上使用被盗账户。这种策略增加了潜在受害者信任并点击恶意链接的可能性。

点击后,用户会被重定向到一个模仿 Itch.io 设计的欺骗性网页,该网页通常托管在 Blogspot 子域名或云链接服务上。在更高级的骗局变种中,受害者可能会看到一个伪造的 Discord 登录页面,以获取他们的登录凭据。这不仅会危及受害者的账户,还会让诈骗者有机会发送更多恶意消息。

恶意下载和规避策略

受害者进入欺诈性游戏页面后会看到一个下载按钮,但他们并没有下载想要的游戏,而是无意中收到了一个通常名为 的文件Setup Game.exe。这个可执行文件的设计运行时没有任何可见的用户界面,例如安装向导或进度条,因此很容易被忽视。

该恶意程序会激活 PowerShell 并运行编码命令,从而隐藏有害脚本,使其无法被立即检测到。由于该代码直接在内存中执行,传统杀毒软件识别该威胁的难度加大。此外,它还使用了. NET 技巧,使 PowerShell 窗口对用户保持隐藏状态。

为了进一步阻止用户干预,该恶意软件使用taskkill命令强制关闭 Chrome、Firefox、Brave、Edge 和 Opera 等流行的网络浏览器。这阻止了用户快速搜索信息或停止安装过程。

威胁级别和建议措施

该恶意软件充当一个stager或loader,不会立即与外部服务器通信。相反,它会进行检查,例如检查注册表项、BIOS或网络配置,以确保其运行在合法机器上,而不是受控的沙盒环境中。当条件允许时,该隐秘组件会下载其他恶意负载,其中可能包括后门程序、键盘记录器或加密货币挖矿程序。

Malwarebytes 建议任何执行该恶意文件的人立即采取行动。以下几点至关重要:

  • 更改 Discord、电子邮件和 Steam 帐户的密码。
  • 从安全设备启用双因素身份验证。
  • 从所有活动会话中注销。
  • 撤销任何授权的第三方应用程序或令牌。
  • 断开受影响的机器与互联网的连接。

警惕未经请求的链接

如果您担心此持续威胁,请警惕包含可疑游戏下载链接的意外私信,以及任何异常的浏览器行为,例如崩溃或突然出现新文件夹。如果您的系统不幸被入侵,强烈建议您彻底重装 Windows。

欲了解更多详情,请访问Neowin网站上的完整报告。

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注