伪装“黑神话悟空修改器”传播木马的活动分析

1 概述

近日,安天CERT通过网络安全监测发现利用"黑神话悟空修改器"传播恶意代码的活动,攻击者将自身的恶意代码程序与《黑神话:悟空》第三方修改器"风灵月影"捆绑在一起,再通过在社媒发布视频等方式引流,诱导玩家下载。玩家一旦下载了带有恶意代码的修改器版本,在运行修改器的同时,也将在后台自动运行恶意代码,导致计算机被控制,产生隐私泄露、经济损失等风险。

《黑神话:悟空》作为国产首款3A游戏大作,千万玩家在线狂欢,尽享盛宴。但玩家尽情在痛殴游戏中的BOSS(或被BOSS痛殴)的时候,也要小心网络中的妖魔鬼怪、恶意代码。祝玩家在游戏中都成为齐天大圣,在上网时也擦亮火眼金睛,穿上金甲战衣。

2 样本传播渠道

利用视频图文引流,携带恶意钓鱼网址

攻击者在视频网站、博客等平台发布视频、图文等格式钓鱼内容,并在其中附带捆绑木马的游戏修改器下载链接,诱导用户下载并执行恶意程序。

图 2‑1通过视频网站引流钓鱼网址

图 2‑2通过发帖引流钓鱼网址

警惕利用闲鱼、淘宝等购物平台传播捆绑木马

《黑神话:悟空》的大量"修改器"上架闲鱼、淘宝平台,售价在1~10元左右,这些修改器很多都标注称是"风灵月影",但实际上,该修改器均为完全免费软件,在风灵月影的网站上就可免费下载。攻击者可能会将携带恶意代码的《黑神话:悟空》修改器挂到购物网站上引流,请广大用户谨慎购买。

图 2‑3 闲鱼、淘宝平台售卖大量修改器

3 样本分析

3.1 样本标签

表 3‑1二进制可执行文件

|-------------------|-------------------------------------|
| 病毒名称 | Trojan/Win32.PoolInject |
| 原始文件名 | 黑神话悟空修改器.exe |
| MD5 | 2C00D2DA92600E70E7379BCAFF6D10B1 |
| 处理器架构 | Intel 386 or later, and compatibles |
| 文件大小 | 6.88 MB (7,215,452 字节) |
| 文件格式 | BinExecute/Microsoft.EXE[:X86] |
| 时间戳 | 2022-12-14 13:40:00 UTC |
| 数字签名 | 无 |
| 加壳类型 | 无 |
| 编译语言 | Visual C/C++ |
| VT 首次上传时间 | 2024-08-25 06:21:11 UTC |
| VT 检测结果 | 44/75 |

显示详细信息

3.2 样本分析

样本是一个Advanced Installer安装包,执行时会在桌面释放"Black Myth Wukong v1.0 Plus 35 Trainer.exe"并执行,该文件为正常修改器程序。另外还会启动msi文件的安装。该安装包可使用/extract参数解包。

图 3‑1样本安装包

msi文件设置了执行条件,不支持虚拟机中运行。

图 3‑2检测虚拟机环境

其捆绑的恶意程序WindowsSandBoxC.exe存放在streams流中,会在运行正常修改器后执行。

图 3‑3安装包内嵌的恶意程序

样本伪装图标和数字签名为Windows Sandbox组件,但与实际系统组件无关。

图 3‑4伪装的图标和数字签名

样本使用ZeroMQ库在进程内传递数据。攻击者对样本中的载荷下载地址中的符号进行了替换,实际的载荷下载地址为https[:]//a-1324330606.cos.accelerate.myqcloud[.]com/a和https[:]//xyz-1324330606.cos.accelerate.myqcloud[.]com/xyz。相关地址为腾讯云对象存储服务。

图 3‑5利用ZeroMQ进行通信

相关下载代码如下所示。

图 3‑6下载载荷

目前该载荷下载地址已失效,但通过情报关联,可以发现其后续载荷还通过相同对象云存储账号下的多个位置下载了载荷。

图 3‑7关联后续载荷

通过对其载荷下载地址中的腾讯云COS存储桶ID进行关联搜索,可发现近期在该腾讯云存储账号中还出现过多次恶意载荷,包括与目前活跃的"游蛇"(又称银狐)组织相关的攻击样本。

此外还发现多个其他软件被捆绑的样本,他们的行为中包含下载多个云存储文件,以及类似%ProgramFiles%\Adobe\<随机字符>.exe的文件释放,与本次样本类似。

图 3‑8更多被捆绑的样本

网络安全学习资源分享:

给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

因篇幅有限,仅展示部分资料,朋友们如果有需要全套《网络安全入门+进阶学习资源包》 ,需要点击下方链接即可前往获取

读者福利 | CSDN大礼包:《网络安全入门&进阶学习资源包》免费分享(安全链接,放心点击)

同时每个成长路线对应的板块都有配套的视频提供:

大厂面试题

视频配套资料&国内外网安书籍、文档

当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料

所有资料共282G,朋友们如果有需要全套《网络安全入门+进阶学习资源包》,可以扫描下方二维码或链接免费领取~

读者福利 | CSDN大礼包:《网络安全入门&进阶学习资源包》免费分享(安全链接,放心点击)

特别声明:

此教程为纯技术分享!本教程的目的决不是为那些怀有不良动机的人提供及技术支持!也不承担因为技术被滥用所产生的连带责任!本教程的目的在于最大限度地唤醒大家对网络安全的重视,并采取相应的安全措施,从而减少由网络安全而带来的经济损失。

相关推荐
安科瑞刘鸿鹏19 分钟前
校园建筑用电安全监测装置 电气火灾监测预防设备功能介绍
运维·服务器·网络·嵌入式硬件·安全·能源
Wx120不知道取啥名20 分钟前
C语言之长整型有符号数与短整型有符号数转换
c语言·开发语言·单片机·mcu·算法·1024程序员节
Python私教1 小时前
Flutter颜色和主题
开发语言·javascript·flutter
代码吐槽菌1 小时前
基于SSM的汽车客运站管理系统【附源码】
java·开发语言·数据库·spring boot·后端·汽车
Ws_1 小时前
蓝桥杯 python day01 第一题
开发语言·python·蓝桥杯
zdkdchao1 小时前
jdk,openjdk,oraclejdk
java·开发语言
茶颜悦色vv2 小时前
网络搜索引擎Shodan(2)
网络·安全·web安全·搜索引擎·网络安全
神雕大侠mu2 小时前
函数式接口与回调函数实践
开发语言·python
Channing Lewis2 小时前
salesforce developer console 匿名执行是以什么身份执行的
数据库·安全·salesforce
Y.O.U..2 小时前
STL学习-容器适配器
开发语言·c++·学习·stl·1024程序员节