“Oyunumu test edebilir misin?” Sahte Itch.io sayfaları Gizli kötü amaçlı yazılımları oyunculara yaydı


Bir anlaşmazlık arkadaşından bir mesaj alırsınız. Ya da belki bilinmeyen bir indie geliştiricisi size ulaşır. “Oyunumu test edebilir misin?” sorarlar.

Görünüşe göre bir bağlantı üzerinden gönderdikleri web sayfası: ekran görüntüleri, dev bulanık, isch.io tarzı düzen ve indirme düğmesi tam orada, tıklanmayı bekliyor.

Sorun şu ki, bu benzeri sayfalar size gerçek oyunu vermiyor. Bunun yerine, PC’nizi sessizce takip kötü amaçlı yazılım için hazırlayan gizli bir yükleyici bırakırlar.

Gördüğümüz bir cazibe, popüler 2D platform Archimoulin’i taklit ediyor (gerçek oyun burada bulunabilir: nicolasduboc.itch.io/archimoulin).

İndirme düğmesi ile sahte isch.io sayfası

Nasıl Yayıyorlar – Sosyal Mühendislik 101

Bu aldatmaca Games’in güvendiği iki şeyi çiviler: arkadaşlar ve indirmeler.

  1. Güvenilir bir teslimat kanalı. Cazibe genellikle arkadaş listenizdeki birinden bir DM’ye gelir – genellikle saldırgan uzlaşmış bir hesap kullanır. İnsanların arkadaşlardan bağlantıları tıklama olasılığı daha yüksektir.
  1. Tanıdık barındırma ve kullanıcı arayüzü. Taklitçiler blogspot alt alanları veya bulut bağlantıları ve sahte kaşıntı tarzı sayfalar kullanır, böylece site meşru görünür. Bazen indirmeler Dropbox veya benzeri hizmetlerin güveniyle sunulur.
  1. İkna edici bir imza-sayfada. Bazı varyantlar önce kimlik bilgilerini toplamak için sahte bir uyumsuzluk oturum açma sayfası sunar. Bu, bağlantıyı kişilerinize yaymak için kullanabilecekleri hesabınızın saldırgan kontrolünü verir.

Kurbanlardan gelen Reddit iplikleri bu deseni tekrar tekrar gösteriyor: zararsız bir “oyunumu test et” DM, ikna edici bir sayfa, sonra kurbanın arkadaşlarına hesap devralma ve kitlesel mesajlaşma.

Tıkladığınızda aslında ne olur?

İşte kullanıcının gördüğü ve Stealth Loader’ın gerçekte ne yaptığını:

  • İndirilene çift tıklayın Setup Game.exe Ve… açık bir şey olmaz. Yükleyici kullanıcı arayüzü yok, ilerleme çubuğu yok. (Bu kasıtlı – saldırgan kurulumun sizi endişelendirmeden olmasını istiyor.)
  • Yürütilebilir, PowerShell’i uzun, kodlanmış bir komutla ortaya çıkarır. (Saldırganlar kodlanmış dizelerdeki komutları gizler, böylece kötü amaçlı komut dosyası ilk bakışta açık değildir.)
  • Komut başka bir komut dosyasını çözer ve doğrudan bellekte çalıştırır. (Bellekte çalışmak, kötü amaçlı yazılımın antivirüsün bulması için diskte düzgün bir dosya bırakmadığı anlamına gelir, bu nedenle algılaması daha zordur.)
  • Bu iç komut dosyası PowerShell penceresini küçük bir .NET hilesi kullanarak gizler, bu yüzden sizi şüpheli hale getirmek için açılan siyah bir konsol yoktur. (Görünür pencere olmadan sizi durduracak ve neyin koştuğunu soracak hiçbir şey yok.)
  • Kod, kendini yönetici haklarıyla yeniden başlatmaya çalışır (runAsve anında küçük bir yardımcıyı derler. csc.exe. (Sıcak klasörler göreceksiniz ve RES*.tmp çalışırken dosyalar.)
  • Bir Node.js çalışma zamanını ve yerel modülleri kullanıcı önbelleğinize açar (C:\Users\\.cache\pkg\...). (Kötü amaçlı yazılımlara bir araç seti veriyor, bu da bir sonraki adımda daha esnek hale getiriyor.)
  • Yükleyici bile çalışıyor taskkill Zorla büyük tarayıcıları (Chrome, Cesur, Firefox, Edge ve Opera) zorlamak. (Bu, olup bitenleri hemen araştırmanızı ve ardından kurulumu durdurmanızı engeller.)
  • Sandbox Run’umuzda hemen eve telefon etmedi; Bunun yerine, “gerçek” bir makinede olduğunu onaylamak için kontroller (net oturum, kayıt defteri sorguları, BIOS/ağ kontrolleri) gerçekleştirdi, ardından ana yükü indirmek için doğru anı bekler. (Kötü amaçlı yazılım genellikle kum havuzlarından kaçınır, ana yükü açığa çıkarmadan önce gerçek bir kullanıcının bilgisayarında olduğunu işaretler arar.)
Yükleyicinin ekran görüntüsü

Alt satır: . Setup Game.exe bir stager/yükleyicidir-bilerek sessizdir, koşullar saldırganın istediği şeyle eşleştiğinde takip kötü amaçlı yazılımları (backdoors, anahtarlogerlar, Coinminers veya daha kötüsü) çekmeye hazırdır.

Ne dikkat etmeliyim

  • İndirme bağlantısı ile beklenmedik DM: Bir mesaj alırsan Beklemediğiniz bir indie oyunu sunmak, önce başka bir kanaldaki gönderenle doğrulayın.
  • No yükleyici kullanıcı arayüzü Ama çalıştıktan sonra garip davranış: Yükleyici penceresi veya ilerleme çubuğu yoksa, ancak tarayıcılarınız çöküyorsa veya geçici derleme klasörlerinin göründüğünü görüyorsanız, bu kırmızı bir bayrak.
  • Beklenmedik klasörler görünür: Oluşturmadığınız yeni klasörleri arayın, C:\Users\\.cache\pkg\… veya %TEMP%\xlfvhkx3\… Özellikle geliştirici araçlarını yüklemediyseniz.
  • PowerShell Gösterisi -EncodedCommand: Çalıştırma işlemlerini kontrol edin Günlükleri Gizli bir komut dosyasının çalıştığı işaretler için.

Zaten koştuysan ne yapmalısınız

Hızlı davranın ve ilk adımlar için farklı, temiz bir cihaz kullanın.

  • Başka bir cihazdan şifrelerinizi (anlaşmazlık, e -posta, buhar) değiştirin ve 2FA’yı etkinleştirin.
  • Tüm oturumları giriş yapın ve yetkili uygulamaları/jetonları iptal edin.
  • Enfekte PC’nin bağlantısını kesin ve tam bir malwarebytes taraması çalıştırın.
  • Açık yeni dosyaları/klasörleri kaldırın (örneğin, C:\Users\\.cache\pkg\…%TEMP%\xlfvhkx3\…).
  • Arkadaşlarınıza hesabınızdaki bağlantıları tıklamamasını ve sayfaları ana bilgisayar (Blogger/Dropbox) ve platformunuza (Dismord/Steam) bildirin.
  • Daha derin uzlaşma belirtileri görürseniz, temelleri yedekleyin ve temiz bir yeniden yükleme veya profesyonel yardım alın.

Son Not – Bağımlı topluluklar güven üzerine kurulmuştur

Archimoulin indie bir oyundur; Sahte sayfalar değil. Dolandırıcılar, oyuncular ve yaratıcılar arasındaki şerefiyeden yararlanıyor. En kötüsü bu: topluluğun kendisini silahlandırıyor.

Hızlı bir akıl sağlığı kontrolü – duraklatmak, URL’yi doğrulamak ve gönderenden başka bir uygulama aracılığıyla sormak – tehlikeye atılmış bir PC’yi temizlemek (veya hesabınızı ve arkadaşlarınızı kaybetme) zorluğundan kaçınmak için gereken her şeydir. Bunu klanınızla paylaşın: Bir saldırganın eğlenceli, indie bir anı bir karmaşaya dönüştürmesi için tek bir tıklama.

Uzlaşma Göstergeleri (IOCS)

ıvır zıvır kilidi[.]blogspot.com

CARNAGEV1[.]blogspot.com

Kelarigame[.]blogspot.com

klorigame[.]blogspot.com

metreageamame[.]blogspot.com

Ravialchy[.]blogspot.com

Ravielchygame[.]blogspot.com

Tamunagame[.]blogspot.com

veriligeame[.]blogspot.com


Sadece dolandırıcılık hakkında rapor vermiyoruz, onları algılamaya yardımcı oluyoruz

Siber güvenlik riskleri asla bir başlığın ötesine yayılmamalıdır. Bir şey size tehlikeli görünüyorsa, mobil koruma ürünlerimizin bir özelliği olan Malwarebytes aldatmaca koruyucusu kullanan bir aldatmaca olup olmadığını kontrol edin. Bir ekran görüntüsü gönderin, şüpheli içeriği yapıştırın veya bir metin veya telefon numarası paylaşın, size bir aldatmaca mı yoksa yasal mı olduğunu söyleyeceğiz. İOS veya Android için Malwarebytes Mobile Security’yi indirin ve bugün deneyin!



Source link