前言：

數(shù)日前，有安全公司發(fā)現(xiàn)詐騙者正在使用針對Fortnite 游戲玩家的比特幣（BTC）錢包地址的惡意軟件。安全研究人員調(diào)查了該游戲的在線生態(tài)系統(tǒng)后，發(fā)現(xiàn)“詐騙者”將惡意數(shù)據(jù)盜竊代碼隱藏在下載中。 調(diào)查顯示，所謂的“免費v-buck”(一種游戲中的貨幣，可以用來購買額外的游戲內(nèi)容)也隱藏著惡意代碼包。這些欺騙性鏈接是通過詐騙者的youtube頻道進(jìn)行推廣的，這些頻道會將用戶重新定向到隱藏惡意軟件的下載中。然后將該文件識別為“特洛伊木馬”。然后發(fā)現(xiàn)這是一個針對比特幣錢包、瀏覽器會話信息、cookie和其他數(shù)據(jù)的數(shù)據(jù)竊取器。

令人難以置信的流行的視頻游戲Fortnite的新賽季，也都是騙局。毫無疑問，騙子會跳上這個潮流，渴望兜售他們的假貨。

只是這一次，詐騙者的想法比你從未真正實現(xiàn)過的典型的低級調(diào)查和下載更危險。在所有肆無忌憚的騙局中，有一個惡意文件準(zhǔn)備竊取數(shù)據(jù)并枚舉比特幣錢包。

那是怎么找到的？首先，研究人員篩選了一個相當(dāng)大的免費季節(jié)六次傳球，據(jù)稱是“免費”Android版本的Fortnite，這些版本是從開發(fā)者的鼻子下泄露出來的，這是一款曾經(jīng)流行的“免費V-Bucks”用于購買游戲中的其他內(nèi)容，以及大量偽造的作弊，墻壁和瞄準(zhǔn)機(jī)。

以下是YouTube的當(dāng)前狀態(tài)，例如：

圖1.Fortnite搜索結(jié)果

這些視頻可以帶來巨大的數(shù)字：這是一個被拉下來的，但在錘子落下之前設(shè)法獲得了120,000次觀看：

圖2.120k次瀏覽

正如預(yù)期的那樣，幾乎所有騙局都遵循典型的調(diào)查路線。但埋藏在這一切中的是一個令人討厭的小數(shù)據(jù)竊取惡意軟件偽裝成作弊工具。

以欺騙為借口提供惡意文件就像老學(xué)校一樣，但是之前從未停止過網(wǎng)絡(luò)犯罪分子。在這種情況下，潛在的騙子會通過菊花鏈點擊和（最終）一些惡意軟件作為分離禮物來品嘗自己的藥物。

設(shè)置場景

提供此騙局的YouTube帳戶擁有700多名訂閱者，并且相關(guān)視頻在上傳后的當(dāng)天已經(jīng)有超過2,200次觀看。

圖3.Fortnite aimbot視頻

單擊該鏈接可將潛在受害者發(fā)送到Sub2Unlock上的頁面。此網(wǎng)站與典型的調(diào)查頁面不同，通常會點擊優(yōu)惠或填寫問題以獲得理論獎勵。相反，它要求您首先在發(fā)送給您的人的社交門戶網(wǎng)站上點擊訂閱。所以有一個區(qū)別，就是蝙蝠。

圖4.分解鎖

另一個有趣的區(qū)別是，任何初始調(diào)查頁面都要求您在進(jìn)行調(diào)查之前完成一項調(diào)查。如果不這樣做，您將無法訪問下載鏈接。

在這里，在測試期間沒有進(jìn)行驗證。點擊訂閱按鈕只會打開YouTube頻道的訂閱頁面，但沒有檢查任何內(nèi)容以確保到實際訂閱了。此時所要做的就是返回Sub2Unlock站點并單擊下載按鈕。

從這里開始，游戲玩家將被帶到位于的網(wǎng)站

BT-fortnite秘籍（點）TK

圖5.Fortnite作弊網(wǎng)站

這個網(wǎng)站是一個相當(dāng)好看的門戶網(wǎng)站，聲稱提供了所需的作弊工具，它很有可能說服年輕人合法化。點按一下按鈕，潛在的受害者被帶到一個更通用的下載網(wǎng)站，其中包含看似很多文件以及各種廣告。

圖6.Fortnite惡意軟件下載鏈接

至于有問題的惡意文件，在撰寫本文時，已經(jīng)發(fā)生了1,207次下載。那是1,207次下載太多了。

文件信息

研究人員將此文件檢測為Trojan.Malpack，這是對可疑文件包含的一般檢測。實際的有效載荷可以是任何東西，但它總是沒有好處。在這種情況下，一點點挖掘并展示了有效載荷是數(shù)據(jù)竊取者。

一旦初始.EXE（重量僅為168KB）在目標(biāo)系統(tǒng)上運(yùn)行，它就會對受感染計算機(jī)特定的詳細(xì)信息執(zhí)行一些基本枚舉。然后，它嘗試通過POST命令將數(shù)據(jù)發(fā)送到俄羅斯聯(lián)邦的/index.php文件，由IP地址5（點）101（點）78（點）169提供。

它需要關(guān)注的一些最值得注意的事情是瀏覽器會話信息，cookie，比特幣錢包以及Steam會話。

圖7.一個抓包

奇怪的是，這也將此寫入到這個的測試系統(tǒng)：

圖8.廣播電臺

......感恩的死，有人嗎？

對于類似命名主題的文件，已經(jīng)多次看到上面的IP地址。

可以看到的很多類似于這個的文件都以完全不同的方式包裝。其中一個有一個名為“Stealer.exe”的進(jìn)程。更多的被盜信息發(fā)布到gate.php而不是index.php，這是Zbot和其他一些的常見標(biāo)志。

雖然這個博客的主題可能不是那么新，但它仍然會對運(yùn)行它的任何人造成相當(dāng)大的損害。將它與當(dāng)前發(fā)燒的新Fortnite內(nèi)容相結(jié)合，是一個被盜數(shù)據(jù)的配方，之后需要大量的清理工作。

作為最后一點，應(yīng)該提一下偷竊者隨附的自述文件廣告，可以為“80美元的比特幣”購買額外的Fortnite作弊。

考慮到上面的事情被淘汰，建議任何想要欺騙的人都要避開這個。獲勝很棒，但絕對不值得冒很大一部分個人信息來完成工作。