我們常會聽到網路犯罪者鎖定遊戲玩家進行攻擊。過去我們曾通報許多類似事件,例如假遊戲應用程式、以線上遊戲貨幣從事現實貨幣洗錢等。攻擊者的目標通常很單純:竊取個人資訊並從中獲利,而遊戲本身也因此經常遭到濫用。
在本文說明的案例中,遭到網路犯罪者利用的並非遊戲,而是遊戲玩家所使用的通訊工具,Discord,這是玩家經常使用的新一代聊天平台,擁有超過 4,500 萬名註冊會員用戶。
ROBLOX
此攻擊案例涉及熱門的大型多人遊戲 ROBLOX,這個遊戲擁有 1 億 7,800 萬名註冊用戶,每個月超過 1,200 萬名活躍使用者。ROBLOX 的發展非常仰賴使用者建立的內容,玩家可以在 ROBLOX 的世界中建立自己的迷你遊戲與環境,並且與其他玩家遊玩分享。ROBLOX 亦具備社群網路的要素,鼓勵使用者進行社交、一起玩遊戲及建立內容,並賺取、消費可交換現金的專屬虛擬貨幣 ROBUX。
Discord 的詐欺漏洞
在網路犯罪者攻擊 ROBLOX 玩家的犯罪中,Discord 扮演何種角色?我們的研究發現,網路犯罪者濫用此聊天平台內建的一項功能,即應用程式設計介面 (API),API 讓此平台能執行使用者建立的程式碼與應用程式。網路犯罪者可藉此從使用 Discord 的目標系統中,竊取包含 ROBLOX 登入憑證的瀏覽器 cookie,具體而言,是 Discord 使用 webhook 的能力遭到濫用。Webhook 其實就是特定應用程式或程序符合條件時,讓聊天程式傳送訊息至指定頻道或使用者,Discord 因此成為資訊外洩的管道。
濫用 webhook 的手法可細分為以下步驟:
- 惡意程式感染目標系統,在此案例中,趨勢科技偵測到惡意程式 TSPY_RAPID.A。TSPY_RAPID.A 最早出現在遊戲論壇上,使用者將它貼在論壇上,宣稱是「作弊程式」,可讓玩家修改角色,取得勝過其他玩家的不當優勢。此惡意程式的程式碼中包含 Discord webhook,如下所示 (SHA256: a983e78219bf3c711c21c7dc23f03dca621ed5861578a8848a954ad9ac9f20e5)。
圖 1 在程式尾端夾帶 Discord webhook 惡意程式碼的螢幕截圖 - 此惡意程式會持續等待,直到偵測到被害者系統中的 ROBLOX,就會竊取使用者的遊戲帳戶 cookie。
- 惡意程式利用 Discord,將竊取到的 cookie 傳送給同樣連線至 Discord 的指定頻道或使用者。
- 遭竊的 cookie 即用於登入已遭入侵的 ROBLOX 帳戶,竊取儲存於帳戶的 ROBUX,推測最後換為現金。
圖 1 在程式尾端夾帶 Discord webhook 惡意程式碼的螢幕截圖
目前已偵測到此惡意程式的變種 TSPY_RAPID.D,可在受到感染的系統中持續運作,只要系統執行 ROBLOX 就能獲得新的帳戶 cookie,即使變更密碼也於事無補,這一點與只執行一次的 TSPY_RAPID.A 不同。TSPY_RAPID.D 也會以夾帶惡意程式碼的 ROBLOX 執行檔取代原始檔案,並以假訊息通知受害者 ROBLOX 程序已當機。
圖 2 偽造的 ROBLOX 當機通知訊息方塊
圖 3 遭竊的 ROBLOX 瀏覽器 cookie 螢幕截圖
網路犯罪者濫用 API,利用 Discord (或任何類似聊天平台) 進行的惡意行為不僅如此。其實我們的分析顯示,網路犯罪者只需稍加創造修改,就可將程式轉換為命令及控制 (C&C) 基礎架構,無需擴充自有系統的資源,就能控制惡意程式。
我們在針對此事件的深入研究報告中,詳細說明其他範例及類似 Discord 濫用的案例研究,標題為「網路犯罪者如何利用聊天程式 API 做為命令及控制基礎架構」。使用者可仔細閱讀這篇報告,深入瞭解此安全問題,並瞭解如何在住家與工作場所處理此問題。
解決方案與因應對策
最大的難處在於,沒有簡單的解決方案可以對付這項 Discord 安全風險。Discord 的 API 功能是其聊天平台的運作關鍵,為了保護目的而「消毒」Discord,會嚴重影響程式功能,導致程式無法發揮作用。這會造成一種情況,就是只有在攻擊已經發生時,使用者才會發現安全問題,屆時惡意程式已侵入系統,利用 Discord 做為 C&C 伺服器。因此,使用者必須考慮,是否值得冒險繼續使用此聊天平台。
網路犯罪者鎖定遊戲論壇中特定遊戲玩家的這項事實,也是必須注意的重點。
為協助提升聊天平台的安全性,我們已經與 Discord 展開密切合作,以找出並去除 Discord 網路中難以解決的威脅。
當然,無論面對哪種安全問題,都應著重採取最佳做法。以下是我們針對 Discord 使用者 (以及針對此問題,對任何聊天平台的使用者) 提出的建議:
- 在你的電腦系統安裝安全解決方案並持續更新,預防感染惡意程式,例如本文提及的惡意程式 (TSPY_RAPID.A 及 TSPY_RAPID.D)。
- 絕對不要點擊可疑的連結,即使是你的好友傳來的連結也一樣。
- 絕對不要下載可疑的檔案,即使是你的好友傳來的檔案也一樣。
- 絕對不要在網路上揭露任何個人資訊,即使是你的好友向你詢問也一樣。
- 在瀏覽論壇時提高警戒,特別是邀你試用作弊程式的文章。
⊙原文來源: How Chat App Discord Is Abused by Cybercriminals to Attack ROBLOX Players
【Cloudsec 2017 企業資安高峰論壇-請把握最後報名機會,席次保留倒數中。。 】
今年的主題包含最熱門的物聯網安全,讓您在享受其美好以及便利性之時,也了解不能忽視的漏洞。以下的議題也是身為資安領航者應該要了解的面向 :
• 金融科技犯罪案例大剖析
• 駭客為何總是有辦法一駭再駭?
• AI 打造人工智慧安全,您知道如何辦到嗎?
• 令人聞之色變的勒索病毒已經結合APT的手法全面入侵,企業要如何全身而退?
如此精彩詳實的內容,席次即將額滿,如果您已經報名,9/6請務必出席,如果您還未報名,請即刻行動,把握最後倒數席次