针对 Itch.io 用户的诈骗活动日益猖獗
Malwarebytes最近的报告引起了人们对独立平台Itch.io上游戏社区的令人不安的骗局的关注。该骗局的实施者利用玩家和独立开发者之间的信任,冒充热门游戏(例如 Archimoulin 游戏)进行诈骗。
骗局如何运作
诈骗者首先会在 Discord 等可信通信平台上使用被盗账户。这种策略增加了潜在受害者信任并点击恶意链接的可能性。
点击后,用户会被重定向到一个模仿 Itch.io 设计的欺骗性网页,该网页通常托管在 Blogspot 子域名或云链接服务上。在更高级的骗局变种中,受害者可能会看到一个伪造的 Discord 登录页面,以获取他们的登录凭据。这不仅会危及受害者的账户,还会让诈骗者有机会发送更多恶意消息。
恶意下载和规避策略
受害者进入欺诈性游戏页面后会看到一个下载按钮,但他们并没有下载想要的游戏,而是无意中收到了一个通常名为 的文件Setup Game.exe。这个可执行文件的设计运行时没有任何可见的用户界面,例如安装向导或进度条,因此很容易被忽视。
该恶意程序会激活 PowerShell 并运行编码命令,从而隐藏有害脚本,使其无法被立即检测到。由于该代码直接在内存中执行,传统杀毒软件识别该威胁的难度加大。此外,它还使用了. NET 技巧,使 PowerShell 窗口对用户保持隐藏状态。
为了进一步阻止用户干预,该恶意软件使用taskkill命令强制关闭 Chrome、Firefox、Brave、Edge 和 Opera 等流行的网络浏览器。这阻止了用户快速搜索信息或停止安装过程。
威胁级别和建议措施
该恶意软件充当一个stager或loader,不会立即与外部服务器通信。相反,它会进行检查,例如检查注册表项、BIOS或网络配置,以确保其运行在合法机器上,而不是受控的沙盒环境中。当条件允许时,该隐秘组件会下载其他恶意负载,其中可能包括后门程序、键盘记录器或加密货币挖矿程序。
Malwarebytes 建议任何执行该恶意文件的人立即采取行动。以下几点至关重要:
- 更改 Discord、电子邮件和 Steam 帐户的密码。
- 从安全设备启用双因素身份验证。
- 从所有活动会话中注销。
- 撤销任何授权的第三方应用程序或令牌。
- 断开受影响的机器与互联网的连接。
警惕未经请求的链接
如果您担心此持续威胁,请警惕包含可疑游戏下载链接的意外私信,以及任何异常的浏览器行为,例如崩溃或突然出现新文件夹。如果您的系统不幸被入侵,强烈建议您彻底重装 Windows。
欲了解更多详情,请访问Neowin网站上的完整报告。
发表回复