分析机构Newzoo称,到2022年,全球游戏商店将超过2000亿美元,全球玩家将达到30亿。这无疑让黑客对这群目标产生了极大的攻击兴趣。最突出的例子之一是价值 200 万美元的 CS:GO 皮肤从用户帐户中被盗,这意味着损失可能会变得非常严重。除了窃取个人凭据和资金外,黑客还可以影响游戏计算机的性能,比如用这些计算机挖矿。
分析方法
为了评估当前的游戏风险,卡巴斯基实验室的研究人员观察了最普遍的 PC 游戏相关威胁和关于挖矿活动攻击、伪装成游戏作弊的威胁、窃取者的统计数据,并分析了几个最活跃的恶意软件系列,数据是从 2021 年 1 月至 2022 年 6 月。
为了限制研究范围,我们分析了几个最流行的游戏列表,并在此基础上创建了流媒体平台 Origin 和 Steam 上可供下载或即将发布的 TOP 28 游戏和游戏系列列表。为了使介绍更深入,我们将手机游戏和 PC 游戏都包括在内。
我的世界
罗布乐思
极品飞车
侠盗猎车手
使命召唤
国际足联
模拟人生
相距甚远
反恐精英:围棋
绝地求生
无畏契约
生化危机
命令与征服
杀手
全面战争
赛博朋克 2077
埃尔登戒指
最终幻想
光环
塞尔达传说
英雄联盟
刀塔 2
顶点传奇
魔兽世界
战争机器
古墓丽影
S.T.A.L.K.E.R.
战锤
我们使用游戏的标题作为关键字,并将其与KSN遥测技术进行比对,以确定与这些游戏相关的恶意文件和不受欢迎的软件的流行程度,以及被这些文件攻击的用户数量。此外,我们还追踪了上面列出的热门游戏的虚假作弊程序的数量,以及大量严重影响玩家电脑性能的“挖矿活动”。
此外,我们查看了围绕游戏的网络钓鱼活动,特别是与网络竞技锦标赛、博彩公司、游戏商店和游戏平台相关的网络钓鱼活动,并发现了许多针对游戏玩家和电子竞技粉丝的诈骗示例。
主要发现
从 2021 年 7 月 1 日到 2022 年 6 月 30 日,遇到与游戏相关的恶意软件和垃圾软件的用户总数为38.4224万人,其中有91984个文件以28个游戏或系列游戏的名义传播;
从 2021 年 7 月 1 日到 2022 年 6 月 30 日,在针对最多用户的攻击中,排名前5的PC游戏或游戏系列是《我的世界》、《Roblox》、《极速狂魔》、《侠盗猎车手》和《使命召唤》;
与《我的世界》相关的恶意和垃圾文件数量同比下降了36%,受影响的用户数量同比下降了近30%;
从2021年7月1日到2022年6月30日,吸引最多用户的前5名手游分别是《我的世界》、《Roblox》、《侠盗猎车手》、《绝地求生》和《FIFA》;
在2022年上半年,我们观察到被可以窃取机密的程序攻击的用户数量明显增加,比2021年上半年增加了13%;
在2022年上半年,攻击者加大了传播 Trojan-PSW 的力度:77% 的窃取机密恶意软件感染案例与 Trojan-PSW 相关;
作为作弊程序传播的恶意软件和垃圾软件对游戏玩家的安全构成了严重的威胁,尤其是对于那些热衷于流行游戏系列的人:从 2021 年 7 月 1 日到 2022 年 6 月 30 日,研究人员检测到 3154 个此类文件,影响了13689名用户;
挖矿活动对玩家产生的威胁越来越大,《孤岛惊魂》、《Roblox》、《我的世界》、《英勇战士》和《FIFA》等游戏就经常成为诱饵,从2021年7月1日到2022年6月30日,有1367个独特的文件和3374名用户遇到了这些文件。
遭受攻击的游戏
去年,从2021年7月到2022年6月,包括恶意软件和潜在不受欢迎的应用程序在内的91984个文件利用了热门游戏作为诱饵传播,全球有384224名用户遭遇了这些威胁。
著名的沙盒游戏《我的世界》排名第一,从2021年7月到2022年6月,使用《我的世界》名称传播的23239个文件影响了131005名用户。然而,与《我的世界》相关的恶意和垃圾文件数量同比下降了36%(36336),受影响的用户数量同比下降了近30%(184887)。
《Roblox》《FIFA》、《孤岛惊魂》和《使命召唤》也是最常被用作诱饵的游戏。大量用户在搜索《极品飞车》、《侠盗猎车手》和《使命召唤》相关内容时遇到了钓鱼攻击。
排名前10的游戏:
随着手机游戏商店的火爆发展,研究人员专门分析了手机威胁的KSN数据。从2021年7月1日到2022年6月30日,遥测显示,31581名移动用户接触到与游戏相关的恶意软件。在给定时间内发现的唯一恶意和垃圾文件的数量是5976。《我的世界》、《Roblox》、《侠盗猎车手》、《绝地求生》和《FIFA》是受相关威胁和受影响用户数量排名最高的游戏。
从2021年7月1日到2022年6月30日,前5款被用户用作诱饵传播恶意软件和垃圾软件的手机游戏
从2021年7月1日到2022年6月30日,按文件划分的5大用作诱饵传播恶意软件和垃圾软件的手机游戏
以游戏为诱饵的网络威胁
自去年以来,影响游戏玩家的威胁总体格局没有太大变化。尽管如此,下载者(88.56%)仍然高居利用热门游戏名称传播的恶意和垃圾软件的榜首,这类未经请求的软件本身可能并不危险,但它可用于将其他威胁加载到设备上。广告软件(4.19%)排在第二位,这类软件会在用户的电脑或移动设备上显示不需要的弹出广告。
以流行游戏为诱饵的各种木马的份额依然稳固,Trojan-SMS、Trojan-Downloader和Trojan-Spy位列前10大威胁之列。
2021年7月1日至2022年6月30日期间以流行游戏为诱饵在全球分布的10大威胁
玩家的账户和资金
从不可靠的来源下载游戏时,玩家可能会碰到恶意软件,这些软件可以从受害者的设备中收集登录信息或密码等敏感数据;并且为了免费下载想要的游戏,找到一个很酷的模组或作弊,游戏玩家的账户甚至金钱就会被攻击。研究表明,使用恶意软件从受感染设备窃取敏感数据的攻击有所增加。其中包括收集受害者凭据的Trojan-PSW(密码窃取软件)、窃取支付数据的Trojan-Banker以及收集游戏帐户登录信息的Trojan-GameThief等。从2021年7月1日到2022年6月30日,卡巴斯基安全解决方案共检测到6491名用户受到3705个此类恶意文件的影响。在2022年上半年,我们观察到受到攻击的用户数量同比显著增长:与2021年上半年相比增长13%。与2021年上半年相比,2022年上半年用于攻击用户的文件数量也增加了近四分之一:从1530个增加到1868个。
从2021年7月1日到2022年6月30日,77%是Trojan-PSW感染。另外22%与Trojan-Banker有关,而Trojan-GameThief文件仅占1%。
2021年7月1日至2022年6月30日期间,从受感染设备窃取敏感数据的恶意软件类型,以流行游戏为诱饵,在全球范围内传播。
从2021年7月1日到2022年6月30日,从受感染设备中窃取数据的前3个威胁家族(按受攻击用户数量):
Trojan-PSW.MSIL.Reline/RedLine
RedLineStealer是一种密码窃取软件,攻击者可以在黑客论坛上以极低的价格购买该软件。从2021年7月1日到2022年6月30日,2362名独立用户受到RedLine的攻击,通过使用流行的游戏标题作为诱饵进行传播,这使其成为最活跃的数据窃取恶意软件家族。一旦在受攻击的系统上执行,RedLineStealer就会收集系统信息,包括设备用户名、操作系统类型以及有关硬件、安装的浏览器和防病毒解决方案的信息。它的主要窃取功能包括从浏览器中提取密码、cookie、卡详细信息和自动填充数据、加密货币钱包秘密、VPN服务凭据等数据。然后将被盗信息发送到由攻击者控制的远程C&C服务器,攻击者后来耗尽了受害者的账户。
RedLine代码指定,根据配置,恶意软件可以窃取浏览器密码、加密货币钱包数据和VPN客户端密码
Trojan-PSW.Win32.Convagent和Trojan-PSW.Win32.Stealer
从2021年7月1日到2022年6月30日,1126名用户遇到了Convagent, 1024名用户遇到了Stealer。
最常见的情况是,当玩家试图从一个三年级网站而不是从官方网站下载一款热门游戏时,他们的设备上就会安装恶意软件,窃取敏感数据。例如,攻击者以一些破解的热门游戏为幌子,传播Swarez dropper,我们在之前的游戏相关威胁报告中详细分析了这一点。Swarez是用ZIP压缩文件传播的,其中包含一个密码保护的ZIP文件和一个带有密码的文本文档。启动恶意软件会导致解密并激活一个名为Taurus的木马窃取程序。后者具有广泛的功能:它可以窃取cookie、保存的密码、浏览器表单和加密货币钱包数据的自动填充数据、收集系统信息、从桌面窃取.txt文件并制作屏幕截图。
研究发现,从2021年7月1日到2022年6月30日,用来传播窃取软件的前5名游戏包括《英勇战士》、《Roblox》、《FIFA》、《我的世界》和《孤岛惊魂》。
2021年7月1日至2022年6月30日,攻击者用来引诱用户下载恶意软件、从受感染设备窃取机密的前5名游戏
如何失去而不是获得
游戏玩家面临的最广泛的网络威胁之一是网络钓鱼,这是一种社会工程计划,攻击者伪装成一个合法和可信的对象,鼓励用户提供敏感数据,如帐户凭据或财务信息。
从2021年7月1日到2022年6月30日,卡巴斯基安全解决方案检测到3116782起与网络游戏中的钓鱼活动有关的攻击。这一领域的一个重要发现与旨在获取用户凭据或接管游戏账户的攻击有关,尤其是通过社交网络登录。
例如,研究人员发现了一些针对《侠盗猎车手在线》玩家的钓鱼活动,攻击者创建了一个虚假网站,发布了一个游戏内的货币生成器。要使用它,你必须用你的游戏账户登录。一旦共享了凭据,攻击者就能获得诸如游戏账户、电话号码、甚至银行详细信息等敏感信息。
向GTA在线模式玩家提供的欺诈性货币发生器
还有就是通过模仿多人免费英雄射击游戏《Apex Legends》,攻击者创建了一个虚假网站,邀请玩家参加抽奖,赢得游戏内的金币。为了试一试运气,玩家被要输入他们的登录凭据。一旦用户名或玩家ID和密码被输入,账号就会被攻击者接管。
Fake Apex Legends网站邀请玩家参与赠送游戏币的活动。一旦玩家输入用户名和密码,攻击者就会进入他的账户。
如今,攻击者已学会模仿许多热门游戏所在的游戏商店的整个界面。最著名的例子包括以CS:GO、PUBG和Warface的名义推出的虚假商店。为了获得更好的结果,玩家需要在游戏商店中获得大量武器和神器。这些攻击者通过复制真实的游戏外观来创建欺诈性商店来欺骗玩家,最终目的是接管他们的账户或窃取他们的钱。
由攻击者创建的虚假CS:GO游戏商店
攻击者模仿《绝地求生》的手机界面创建了虚假的游戏商店。该计划鼓励用户使用他们的社交媒体凭据登录
挖矿活动
“挖矿活动”程序可能会对计算机的性能产生不利影响。一旦在受影响的计算机上启动一个挖矿活动文件,它就开始来挖掘加密货币。当涉及到不请自来、违背用户意愿干扰用户操作系统的“挖矿活动”时,情况可能会变得更糟,尤其是对那些把计算机的运行力看得高于一切的游戏玩家来说。
《孤岛惊魂》被证明是未经请求的挖矿活动中最受欢迎的游戏,受挖矿活动影响的用户数量在2022年上半年同比减少了一半,这可能与比特币汇率的大幅下跌有关。
虚拟角色扮演游戏《Elden Ring》被攻击者用作传播OpenSUpdater的诱饵。OpenSUpdater是一种木马,它假装是一个被破解的游戏版本,一旦安装,就会下载并安装各种垃圾程序和挖矿活动到受害者的设备。
OpenSUpdater活动只针对某些国家的用户,所以如果用户的IP地址不满足传播服务器的区域要求,就会下载干净的软件,例如7zip档案管理器。受影响的用户将收到提供各种有效负载的安装程序,包括合法软件、可能不需要的应用程序和挖矿活动。感染链分为两个阶段。在第一阶段,安装一个恶意下载程序。该下载程序的代码由攻击者通过使用各种模糊化和反仿真技术每周更新几次。这些变化的主要目的是使威胁调查和监测复杂化。第二阶段是安装程序本身。
游戏作弊
攻击者试图通过创造虚假的欺骗程序来欺骗玩家,这些程序不但没有提供所谓的作弊功能,反而对电脑的性能产生负面影响,甚至窃取玩家的数据。
从2021年7月1日到2022年6月30日,共发现了3154个作为最受欢迎游戏的作弊程序传播的文件,共有13689名用户受到影响。绝大多数模仿作弊程序的文件都与《反恐精英:全球进攻》(418个)、《Roblox》和《英勇战士》(二者都有332个文件)以及《全面战争》(284个)有关。与此同时,《极品飞车》影响用户数量(3256)位居第一。
安全建议
尽可能使用双重身份验证保护你的帐户。如果不能,至少梳理一下帐户设置;
为你的每个账户使用一个独立的、强大的密码。如果你的一个密码泄露了,你的其他账户仍然安全;
安装杀毒软件;
从官方商店如Steam,苹果App Store,谷歌Play或亚马逊Appstore下载你的游戏。虽然并非百分百安全,但这些商店的游戏都要经过筛选,确保不会随机发布应用。如果你想要的游戏只能从官方网站购买。请再次检查网站的URL,以确保它是真实的;
避免购买弹窗里的购买链接。
小心网络钓鱼活动和陌生玩家。不要打开电子邮件或游戏聊天中收到的链接,除非你信任发件人,否则不要打开陌生人的文件。
要你的用户名和密码的网站都是骗人的;
避免下载破解软件或任何其他非法内容;
保持操作系统和其他软件的更新可以帮助解决许多安全问题;
不要访问搜索结果中提供的可疑网站,也不要安装它们提供的任何东西。
本文翻译自:https://securelist.com/gaming-related-cyberthreats-2021-2022/107346/如若转载,请注明原文地址