تقلب جعلی گیمرها را فریب می دهد تا بدافزار سرقت اطلاعات را منتشر کنند

تقلب‌های جعلی در بازی‌های ویدیویی، گیمرها را فریب می‌دهند تا بدافزاری را دانلود و نصب کنند که اطلاعات شخصی و مالی کاربران را می‌دزدد..

به گزارش TechNock، یک بدافزار جدید سرقت اطلاعات مربوط به خانواده بدافزار Redline خود را به عنوان یک تقلب بازی به نام Cheat Lab پنهان می‌کند و به دانلودکنندگان قول می‌دهد در صورت متقاعد کردن دوستان خود برای نصب آن، یک نسخه رایگان از آن دریافت کنند. بلیپ کامپیوتر او می نویسد که Redline یک بدافزار قدرتمند برای سرقت اطلاعات است که قادر به جمع آوری اطلاعات حساس از رایانه های آلوده است.

این اطلاعات شامل گذرواژه‌ها، کوکی‌ها، داده‌های تکمیل خودکار فرم و اطلاعات کیف پول ارزهای دیجیتال است. بدافزار مذکور در بین مجرمان سایبری بسیار محبوب است و از طریق کانال های توزیع مختلف در سراسر جهان توزیع می شود.

محققان امنیتی McAfee گزارش داده اند که این ابزار جدید سرقت اطلاعات از بایت کد Lua برای فرار از تشخیص استفاده می کند. این ویژگی به بدافزار اجازه می دهد تا به طور مخفیانه خود را به فرآیندهای قانونی تزریق کند و از قابلیت جمع آوری Just-In-Time (JIT) استفاده کند.

محققان این گونه جدید را با Redline مرتبط می دانند. زیرا از سرور فرمان و کنترلی استفاده می کند که قبلاً برای این بدافزار شناخته شده بود. با این حال، طبق آزمایش‌های BleepingComputer، این بدافزار رفتارهایی را که معمولاً با Redline مرتبط است، مانند سرقت اطلاعات مرورگر و ذخیره گذرواژه‌ها و کوکی‌ها نشان نمی‌دهد.

بدافزار مذکور از طریق لینک‌هایی در مخزن GitHub بسته‌های نرم‌افزاری مایکروسافت با نام «vcpkg» منتشر شده و به صورت فایل‌های ZIP حاوی نصب‌کننده MSI توزیع می‌شود. در زمان اجرا، این نصب کننده دو فایل به نام های compiler.exe و lua51.dll را از حالت فشرده خارج می کند و فایلی به نام readme.txt حاوی بایت کد Lua مخرب ایجاد می کند.

برای جلوگیری از شناسایی، کد مخرب این بدافزار به عنوان یک فایل اجرایی توزیع نمی شود. به عنوان بایت کد کامپایل نشده است. در حین نصب، برنامه compiler.exe بایت کد Lua ذخیره شده در فایل readme.txt را کامپایل و اجرا می کند. این فایل اجرایی با ایجاد وظایف برنامه ریزی شده که در هنگام راه اندازی سیستم اجرا می شوند، ماندگاری خود را بر روی سیستم قربانی تضمین می کند.

McAfee گزارش می دهد که این بدافزار از مکانیزم ماندگاری جایگزین استفاده می کند و سه فایل را در یک مسیر طولانی و تصادفی در زیر پوشه “ProgramData” کپی می کند. بدافزار پس از فعال شدن در سیستم آلوده، با سرور فرمان و کنترل ارتباط برقرار می کند و اسکرین شات هایی از پنجره های فعال و اطلاعات سیستم ارسال می کند و منتظر می ماند تا دستورات در سیستم میزبان اجرا شوند.

روش دقیق مورد استفاده برای آلودگی اولیه هنوز مشخص نشده است. اما بدافزار سرقت اطلاعات معمولاً از طریق تبلیغات مخرب، توضیحات ویدیوی YouTube، دانلودهای P2P و وب سایت های دانلود نرم افزار فریبنده منتشر می شود.

این حمله نشان می دهد که حتی نصب برنامه ها از منابع به ظاهر امن مانند GitHub مایکروسافت می تواند منجر به آلوده شدن به بدافزار Redline شود. بنابراین، به کاربران توصیه می کنیم از اجرای فایل های اجرایی بدون امضا و فایل های دانلود شده از وب سایت های مشکوک خودداری کنند.