游戏开发商Activision警告称，网络犯罪分子正在利用伪造的作弊软件来传播一个远程访问木马（RAT）。

事件概述

游戏公司Activision是《使命召唤：战区》（Call of Duty:Warzone）的开发商，近期Activision发布警告称，攻击者正在大肆发布作弊工具的广告，而这种作弊工具中隐藏了远程访问特洛伊木马（RAT）恶意软件。

Activision在警告中说，这种攻击活动是在今年3月份出现的，当时一名网络攻击者在黑客论坛上发布消息称，他们有一种免费的“新手友好”方法来传播RAT，即给目标用户提供嵌入了恶意软件的作弊工具。

Activision报道称：“一般来说，作弊工具都需要以系统最高权限来运行，而且作弊工具通常还会要求用户禁用或卸载防病毒软件和系统防火墙，并禁用内核代码签名等等。当时，攻击者还发布了相关的恶意软件，并且帖子还有1万多次浏览和260条回复。这篇帖子随后在评论中又添加了说明，并链接到了一个YouTube视频进行讲解，视频的浏览量更是达到了5000余次。”

COD Dropper

这是研究人员第一次识别出这种恶意软件，并将其名名为“COD-Dropper v0.1”。

Activision的报告补充道：“网络犯罪分子不需要投入大量的工作来创建复杂的安全绕过措施或利用现有的漏洞，他们可以转而创建令人信服的欺诈广告，如果定价有竞争力，可能会引起一些关注。2020年12月，相关的Dropper还被收录进了一个黑客教程中，主要针对的是那些想快速挣钱的新手们。”

报告指出，许多作弊论坛试图阻止任何看起来不真实的东西，这意味着攻击者需要保持低调，以防被屏蔽。

报告称：“这则广告看起来并不是特别聪明，但仍有人回复，并询问是否有人试用过，不过一天后就被删除了。”

同样的广告也出现在了各大游戏论坛上，最近的一次发布于3月1日，而且还提供了视频来证实工具的有效性。并且还提供了详细介绍，比如说如何禁用杀毒软件，并以管理员权限运行工具等等，这样将允许攻击者拿到目标用户的系统完整访问权。而且，有人还因此被骗了价值10美元的比特币。

我们也可以从评论中看到，确实有人下载了这个作弊工具。

Activision指出，虽然这种方法过于简单，但它本质上是一种社会工程学技术，利用目标（想要作弊的玩家）自愿降低安全保护，并忽略运行潜在恶意软件的警告。

恶意Dropper分析

这个恶意软件是一个RAT工具，允许攻击者获取到目标用户设备的完整访问权。但它同时也是一个Dropper，可以在目标设备上安装其他的恶意软件。这个Dropper是一个.NET应用程序，下载之后会要求木表用户同意授予管理员权限。

Payload保存到目标磁盘之后，应用程序将创建一个名为“CheatEngine.vbs”的VBScript脚本。接下来，它会启动“CheatEngine.exe”进程，并删除“CheatEngine.exe”可执行程序。

后话

游戏一直都是网络犯罪分子们寻找非法收益的最佳场景，卡巴斯基在2020年的一项研究中发现，超过61%的游戏玩家报告称自己成为某种诈骗的目标，包括身份盗窃。

2020年底发布的《赛博朋克2077》就受到了勒索软件攻击的重创，而在今年2月底，攻击者宣布他们准备举行一场拍卖会，拍卖《赛博朋克2077》的源代码和《巫师3：狂猎》游戏的未发行版本，开拍价为100万美元。今年1月份，《生化危机》、《街头斗士》和《黑暗追踪者》等游戏也难逃被攻击的厄运。