線上遊戲的帳號或道具、虛擬貨幣遭竊的報導時有所聞,花了那麼長的時間及金錢好不容易掙來的道具一夕之間消失,對被害者而言是相當大的打擊。
這些被害案件大多數是,因為線上遊戲的認證遭駭。惡意的第三方利用釣魚詐騙等的手法騙取認證資訊(帳號及密碼),並使用某種方法得到用戶在多數的線上服務所使用的認證資訊內容,進行非法登入,並盜取用戶的道具等。
分類: 遊戲 game
惡意Chrome擴充功能竊取Roblox遊戲貨幣
資安趨勢部落格最近討論過網路犯罪份子利用玩家經常使用的新一代聊天平台: Discord,從Windows電腦上的Roblox程序竊取cookie。在那之後,我們又看到類似的竊取行為,只是這次是利用Chrome擴充功能(CRX檔案)。
雖然它目前的目標只針對擁有 1 億 7,800 萬名註冊用戶的ROBLOX遊戲使用者,但相同的技術可以用來在任何網站竊取cookie。偷來的資訊會透過Discord聊天平台發送,不過這也能夠變更成其他聊天平台。而且趨勢科技發現這個Chrome擴充功能可以只用99美分在Dream Market地下市場買到:
圖1、Roblox Trade Bot在“Dream Market”地下市場販賣(點擊放大)
我們取得這交易機器人內的樣本如下:ROBLOX BOT.zip、Crm5extension.crx、Roblox Enhancer.crx和DankTrades.zip。第一個ZIP檔內包含一個檔案名為bgWork.js。
圖2、 ZIP檔案內容
搜尋CRM5或bgWork.js會找到論壇v3rmillion.net。這個地下市場論壇是Roblox駭客的熱門網站。人們甚至會開始用ROBUX(Roblox遊戲內的貨幣)來交易其他工作或產品。
檢視bgWork.js會發現一個設定好的Discord網路掛接(webhook)。安裝之後,惡意軟體會透過Discord API送出竊來的Roblox cookie。在此例中,這個交易機器人擴充功能號稱會取得最近的平均價格,協助你來將ROBUX交易成別的東西。但這擴充功能實際上並不會這麼做;只會將偷來的cookie送到Discord頻道,對使用者沒有任何用處。 繼續閱讀
超過9,000個搭任天堂Mario(瑪莉歐)順風車的手機應用程式,約有三分之二都帶有惡意行為
假「Super Mario」應用程式: – ANDROIDOS_DOWGIN.AXMD,偽裝成Mario(瑪莉歐)遊戲,,聲稱需要進行更新才能繼續玩,並提示安裝另一個應用程式;冒牌「Super Mario」- ANDROIDOS_DOWGIN.AXMD: 彈出式廣告導引到成人或惡意網站,出現假安全警告,甚至要求管理員權限。
假應用程式搭上任天堂手機遊戲:Super Mario Run順風車
在今年初,我們討論過網路犯罪分子如何利用Pokemon Go的熱門程度來推出自己的惡意應用程式。隨著2016年的即將結束,我們看到相同的故事發生在任天堂手機遊戲上:Super Mario。
►《延伸閱讀》:抓寶可夢竟有假 GPS 定位?! 山寨《Pokémon Go》假應用程式,廣告程式充斥
獨佔遊戲Super Mario(超級瑪莉歐)一直是任天堂遊樂器的重要成員,自從80年代中期以來,在各個平台上出過多款遊戲。但是不管手機遊戲市場如何成長,任天堂都沒有在行動平台上推出任何Super Mario的遊戲。這一切在2016年9月出現轉變,任天堂宣佈在iOS和Android上推出Super Mario Run(超級瑪莉歐酷跑)。iOS版本於2016年12月15日推出,Android版本計畫在明年推出。
超過9,000個搭Mario名稱順風車的應用程式,大約有三分之二都帶有惡意行為
在正式推出前,網路犯罪分子已經推出了自己的Mario(瑪莉歐)相關應用程式。自2012年以來,趨勢科技在網路上發現超過9,000個使用Mario名稱的應用程式。大約有三分之二都帶有某些惡意行為,包括未經使用者同意就顯示廣告和下載應用程式。自年初以來,我們已經偵測這些惡意應用程式約9萬次,大部分下載者來自下列國家/地區:
圖1、偽裝成Mario(瑪莉歐)相關的惡意應用程式下載分佈(2016年1月到11月)
趨勢科技所發現的惡意應用程式大多數只顯示廣告。但有一些會安裝不需要的應用程式到使用者設備上。我們來看看其中兩個惡意應用程式。
一個應用程式是偵測為ANDROIDOS_DOWNLOADER.CBTJ的「Super Mario」。它透過第三方應用程式商店散布:
冒牌「Super Mario」-ANDROIDOS_DOWNLOADER.CBTJ:聲稱需要進行更新才能繼續玩,並提示使用者安裝另一個應用程式
圖2、假的「Super Mario」應用程式
販賣網路遊戲金幣:它如何成為攻擊企業的途徑?
跟 DDoS攻擊網路遊戲產業有類似遭遇的公司可能多不勝數。不過因為遊戲產業有著十億美元的產值,而且是個不斷成長的競爭社群,自然會引起網路犯罪分子的注意。像是最近的一起電子詐騙案,一群駭客從熱門的FIFA系列中挖出價值1600萬美元的金幣,將其賣給歐洲和中國的買家。在趨勢科技的研究中發現,這類遊戲金幣的販賣最終用來資助與網路遊戲無關的網路犯罪行動。
雖然有些網路攻擊似乎只針對特定產業,但威脅本身並無邊界,意味著它們也可能成為對其他產業進行更嚴重網路犯罪的入口。畢竟這麼巨大的潛在收入加上對數位貨幣的無法可管,要如何去阻止網路犯罪分子對網路遊戲產業進行更加多元的攻擊的賺錢大計?
圖1、如何洗出遊戲金幣來資助網路犯罪活動
駭客藉由販賣線上遊戲幣資助網路犯罪,企業連帶成了受害者
網路上已出現許多販賣線上遊戲幣的網站,而這類熱門的遊戲包括:《FIFA》、《魔獸世界》、《流亡黯道》等等,更有些人提供代練《寶可夢》帳號的服務。網路犯罪集團藉由經營線上遊戲幣業務充實資金,進一步拓展網路犯罪活動,攻擊更多企業機構,甚至遊戲伺服器。趨勢科技已見過多起駭客集團所發動的攻擊。
這些網站都有自己的廣告、促銷活動,甚至提供加密的付款機制。事實上,它們絕大部分就像一般的購物網站一樣提供了快速、安全的交易機制,更有 7 天 24 小時全天候線上即時通訊技術支援。
————————————————————————————-
網路犯罪集團藉由經營線上遊戲幣業務充實資金,進一步拓展網路犯罪活動,攻擊更多企業機構,甚至遊戲伺服器
線上遊戲產業長久以來都是網路犯罪的一大目標。這些年,我們看到玩家遭到各種網路釣魚攻擊,不然就是遊戲帳號被盜。至於遊戲公司,則是遭到分散式阻斷服務 (DDoS) 之類的攻擊。但這些威脅都跟遊戲本身無關,不過,我們最近發現了一種與玩家切身相關且影響廣泛的威脅。
根據趨勢科技最新的研究「網路犯罪集團販賣線上遊戲幣」(The Cybercriminal Roots of Selling Online Gaming Currency) 指出,網路犯罪集團現在會藉由販賣線上遊戲幣的方式來賺錢以資助其犯罪行動。
利用玩家之間相互比較的心理
這類手法專門針對那些會用真錢購買遊戲幣的玩家 (尤其是大型多人線上角色扮演遊戲,簡稱 MMORPG)。MMORPG 是一種讓全球玩家在網路虛擬世界當中共同探險的奇幻冒險遊戲。在這類遊戲當中,玩家很容易產生互相比較的心理,因此那些擁有大量遊戲幣可購買稀有寶物或是意外獲得稀有寶物的玩家,通常都是人人稱羨的對象。
然而,有些玩家會向人購買遊戲幣來節省練功賺遊戲幣的時間和精力,以便在短期之內迅速累積大量遊戲幣。當然,這樣的行為讓遊戲開發人員和廠商不齒,因為這簡直就是作弊,是一種可能被「封帳號」的違規行為。
當然,在線上遊戲當中作弊並不犯法,就像買賣線上遊戲代幣也不犯法。網路犯罪集團深知這點,也藉此發展出一套賺錢秘方。網路上已出現許多販賣線上遊戲幣的網站,而這類熱門的遊戲包括:《FIFA》、《魔獸世界》、《流亡黯道》等等,更有些人提供代練《寶可夢》帳號的服務。這些網站都有自己的廣告、促銷活動,甚至提供加密的付款機制。事實上,它們絕大部分就像一般的購物網站一樣提供了快速、安全的交易機制,更有 7 天 24 小時全天候線上即時通訊技術支援。
企業連帶成了受害者
網路犯罪集團藉由經營線上遊戲幣業務來充實資金,進一步拓展網路犯罪活動,攻擊更多企業機構,甚至遊戲伺服器。我們已見過多起由 Lizard Squad、Team Poison 和 Armada Collective 等駭客集團所發動的攻擊。 繼續閱讀