日前,Activision发布了一份报告,揭露了《使命召唤:战争地带》的一款外挂软件中隐藏了恶意软件。根据一份Vice报告,Activision研究人员发现,作弊软件偷偷地在设备上安装了一个植入器,用于在目标系统或设备上安装或传送额外的有效载荷,例如凭证窃取恶意软件。Dropper本身不是目的,而是实现目的的手段,链条中的关键环节。恶意软件活动的目标之一是在受害者的计算机上安装矿工,利用玩家的显卡在受害者不知情的情况下挖掘加密货币。Activision指出,“真正的”作弊所需的程序也允许大多数恶意软件工具执行,例如绕过系统保护和提升权限。许多作弊者建议用户禁用他们的防病毒软件以确保与系统的兼容性,从而允许隐藏的恶意软件在作弊者不知情的情况下感染PC。地下黑客论坛上宣传恶意软件分发方法的帖子2020年3月,一名黑客在多个黑客论坛上宣传了一种免费、“新手友好”且“有效”的方法,以使用传播远程访问木马(RAT)的恶意软件。虽然可能有数百个指南涵盖RAT传播方法,但这个指南并不依赖于复杂的策略,而是依赖于受害者自愿禁用他们自己系统上的多个安全设置。黑客建议的说服受害者禁用其保护的方法是将他们的RAT宣传为视频游戏作弊。配置作弊程序时,通常的做法是使用最高系统权限运行它。作弊指南经常要求用户禁用或卸载防病毒和主机防火墙、禁用内核代码签名等。黑客还附上了设置骗局所需的文件。自该方法发布以来,该帖子已获得超过10,000次浏览和260条回复。虚假的《使命召唤》作弊广告下图是2020年4月在一个热门作弊网站上发布的虚假作弊广告,被宣传为“新鳕鱼黑客”。虽然许多非法网站在监管其列表方面做得很好,但只宣传“真正的”作弊工具。但这则广告,看起来不是特别精致,也不花太多心思,却还是吸引了用户。有人回复问有没有人试过,一天后广告就被撤下了。然而,这并没有吓退这些黑客,因为最近在2021年3月1日,同样的骗局再次出现在论坛上。YouTube视频还将该作弊宣传为CODWarzone2020“未被发现”作弊。此YouTube视频提供了比原始论坛帖子更详细的设置说明和功能说明。该说明包括以管理员身份运行程序和禁用防病毒软件的说明。TechnicalAnalysisDropper本身是一个.NET应用程序,可以下载并执行任意可执行文件。除非禁用,否则UAC(用户帐户控制)将提示用户同意允许下载的可执行文件以管理权限运行。如您所见,应用程序正在从远程主机下载文件并将其保存到当前目录中的“CheatEngine.exe”。将有效负载保存到磁盘后,应用程序会创建一个名为“CheatEngine.vbs”的VBScript。然后启动“CheatEngine.exe”进程并删除“CheatEngine.exe”可执行文件。恶意软件作者可以使用“COD-Dropperv0.1”应用程序来创建伪造的COD作弊器。creator/generator是一个.NET可执行文件,它包含一个dropper.NET可执行文件作为资源对象。使用恶意负载的URL,一旦用户单击“::Build:::”,应用程序就会使用“dnlib”.NET程序集库检查“COD_bin”对象。它用提供的URL替换名为“[[URL]]”的URL占位符,并将“COD_bin”资源保存在新文件名下。总结虽然这种方法相当简单,但它归结为一种社会工程技术,利用目标(想要作弊的玩家)的意志自愿降低安全保护并忽略运行潜在恶意软件的警告。《使命召唤:战争地带》在2020年8月拥有7500万玩家。虽然现在这个数字要低得多,但作弊仍然是一个大问题。自推出以来,Activision已在全球禁止300,000人,一天内禁止了60,000人。完整报告下载:点击下载
