【安全资讯】攻击者利用游戏交流平台针对韩国用户传播lolMiner挖矿软件
引言
Discord Messenger是面向游戏玩家的交流平台,可以创建频道和单独的房间,并通过文本或语音与其他用户交流。研究人员发现,攻击者正通过在 Discord 聊天室中分享虚假的“免费Robux生成器”程序,来诱导用户下载恶意挖矿软件。Roblox(Robux)是世界最大的多人在线创作游戏,攻击者传播的程序声称可以免费生成Roblox游戏币,此次活动主要针对韩国游戏用户。
简况
伪造的“免费Roblox生成器”如下图:
如果点击上图底部的“Roblox生成器下载”链接,则会下载一个压缩文件。解压后可以看到一个名为“Robux free tool.exe”的可执行文件,如果运行这个文件,就会一步步安装各种恶意软件。robux free tool.exe是用AutoHotkey开发的,负责在Windows Defender异常路径中注册%AppData%和%Temp%路径,随后安装额外的恶意代码。安装的roTokenGrabber.exe恶意代码使用VMProtect打包,但使用AutoHotkey开发,该恶意软件也是下载器恶意软件。但是有一点不同,这个下载器不直接下载恶意软件,而是访问tumblr页面,根据页面上已有的下载地址安装install.exe。install.exe安装后,被感染系统的基本信息通过谷歌提供的Apps Script进行传输。
install.exe是最后一个下载器恶意软件,从tumblr页面下载并安装了实际的3个恶意软件:svchost.exe、lol.exe和dc.exe,如下图:
在已安装的恶意软件中,dc.exe是一个名为 Defender Control 的实用程序,可以禁用 Windows Defender Anti-Virus。lol.exe是一种名为 lolMiner 的以太坊挖矿恶意软件,并以“runtime broker.exe”的名义安装。svchost.exe是一种恶意代码,它给 lolMiner 提供参数并执行以进行实际挖矿。
总结
攻击者在交流游戏的 Discord 平台上传播伪造的游戏币生成器,从而在用户的系统上安装挖矿恶意软件。用户应避免安装这些来源不明的非法程序。