遊戲 game - 資安趨勢部落格

駭客藉由販賣線上遊戲幣資助網路犯罪,企業連帶成了受害者

2016 年 10 月 25 日2017 年 02 月 07 日趨勢科技 TrendMicro

網路上已出現許多販賣線上遊戲幣的網站，而這類熱門的遊戲包括：《FIFA》、《魔獸世界》、《流亡黯道》等等，更有些人提供代練《寶可夢》帳號的服務。網路犯罪集團藉由經營線上遊戲幣業務充實資金，進一步拓展網路犯罪活動，攻擊更多企業機構，甚至遊戲伺服器。趨勢科技已見過多起駭客集團所發動的攻擊。

這些網站都有自己的廣告、促銷活動，甚至提供加密的付款機制。事實上，它們絕大部分就像一般的購物網站一樣提供了快速、安全的交易機制，更有 7 天 24 小時全天候線上即時通訊技術支援。

————————————————————————————-

網路犯罪集團藉由經營線上遊戲幣業務充實資金，進一步拓展網路犯罪活動，攻擊更多企業機構，甚至遊戲伺服器

線上遊戲產業長久以來都是網路犯罪的一大目標。這些年，我們看到玩家遭到各種網路釣魚攻擊，不然就是遊戲帳號被盜。至於遊戲公司，則是遭到分散式阻斷服務 (DDoS) 之類的攻擊。但這些威脅都跟遊戲本身無關，不過，我們最近發現了一種與玩家切身相關且影響廣泛的威脅。

根據趨勢科技最新的研究「網路犯罪集團販賣線上遊戲幣」(The Cybercriminal Roots of Selling Online Gaming Currency) 指出，網路犯罪集團現在會藉由販賣線上遊戲幣的方式來賺錢以資助其犯罪行動。

利用玩家之間相互比較的心理

這類手法專門針對那些會用真錢購買遊戲幣的玩家 (尤其是大型多人線上角色扮演遊戲，簡稱 MMORPG)。MMORPG 是一種讓全球玩家在網路虛擬世界當中共同探險的奇幻冒險遊戲。在這類遊戲當中，玩家很容易產生互相比較的心理，因此那些擁有大量遊戲幣可購買稀有寶物或是意外獲得稀有寶物的玩家，通常都是人人稱羨的對象。

然而，有些玩家會向人購買遊戲幣來節省練功賺遊戲幣的時間和精力，以便在短期之內迅速累積大量遊戲幣。當然，這樣的行為讓遊戲開發人員和廠商不齒，因為這簡直就是作弊，是一種可能被「封帳號」的違規行為。

當然，在線上遊戲當中作弊並不犯法，就像買賣線上遊戲代幣也不犯法。網路犯罪集團深知這點，也藉此發展出一套賺錢秘方。網路上已出現許多販賣線上遊戲幣的網站，而這類熱門的遊戲包括：《FIFA》、《魔獸世界》、《流亡黯道》等等，更有些人提供代練《寶可夢》帳號的服務。這些網站都有自己的廣告、促銷活動，甚至提供加密的付款機制。事實上，它們絕大部分就像一般的購物網站一樣提供了快速、安全的交易機制，更有 7 天 24 小時全天候線上即時通訊技術支援。

企業連帶成了受害者

網路犯罪集團藉由經營線上遊戲幣業務來充實資金，進一步拓展網路犯罪活動，攻擊更多企業機構，甚至遊戲伺服器。我們已見過多起由 Lizard Squad、Team Poison 和 Armada Collective 等駭客集團所發動的攻擊。繼續閱讀

PlugX惡意軟體出現在官方版本的英雄聯盟和流亡黯道

2015 年 01 月 21 日2015 年 01 月 21 日趨勢科技 TrendMicro

台灣的資訊安全大會 – 台灣駭客年會（HITCON）上發表了一起針對多款線上遊戲的攻擊。兩款熱門線上遊戲的官方版本被發現有問題，會下載惡意軟體到系統上。HITCON和趨勢科技合作提供了清除工具給這波攻擊的潛在受害者。趨勢科技接著和受到影響的遊戲供應商合作來解決這起事件。

有問題的官方版本

被用在這波攻擊的遊戲是線上遊戲 – 英雄聯盟（LoL）和流亡黯道（Path of Exile）。遠端存取木馬（RAT）PlugX的變種出現在這些遊戲的官方版本，而且顯然地是針對於亞洲特定國家的使用者。

感染鏈經由下載合法安裝程式或更新遊戲而觸發。有問題的遊戲啟動程式會植入三個檔案：

合法遊戲啟動程式
用合法啟動程式來蓋掉有問題版本的「清理程式」
安裝PlugX檔案的植入程式

清理程式可以視為是一種掩飾惡意活動痕跡的作法。到最後，受害者只會看到兩個惡意檔案，NtUserEx.dll和NtUserEx.dat（都被偵測為BKDR_PLUGX.ZTBL-EC）。

PlugX允許遠端攻擊者在未經使用者許可或授權下執行惡意和資料竊取行為。PlugX變種往往會針對合法的應用程式，所以利用這些遊戲並不算是新手法。一個比較大的分別是這個PlugX變種會建立自己的自動啟動服務，而非利用合法應用程式的服務。

仔細檢查會發現「Cooper」字串出現在惡意軟體內。而在另一起APT攻擊活動中，「Lee Cooper」這名字被用來註冊命令與控制（C&C）伺服器，這顯示這兩起攻擊活動背後可能是相同的團體。

圖1、「Cooper」字串可以在惡意軟體中找到

同時檢查其憑證，我們注意到可疑檔案的雜湊值是有效的，意味著有用「簽章工具」來配對有問題檔案的雜湊值。而在另一方面，合法的遊戲啟動程式則帶有無效的數位簽章。

追查源頭

這些有問題的官方版本可以追查到Garena，這是一家亞洲的線上遊戲代理商。Garena和Riot Games、S2 Games和藝電等遊戲廠商有合作關係，所以對某些遊戲有獨家發行權。

在一份官方說明中，Garena說道「電腦和修補程式伺服器受到了木馬程式感染。結果造成所有英雄聯盟和流亡黯道的遊戲程式受到感染」。

臺灣和新加坡所受的影響最大

根據分析，似乎只有臺灣版本的英雄聯盟和流亡黯道受到影響。趨勢科技主動式雲端截毒服務 Smart Protection Network的反饋資料也支持這項發現。然而，我們也看到來自其他亞洲國家（如泰國、馬來西亞和香港）的受害者。

圖3、受影響的國家

繼續閱讀

《資料圖表》個資竊取者如何設下陷阱引誘線上玩家?

2014 年 08 月 14 日2014 年 09 月 10 日趨勢科技 TrendMicro

2011 年，網路犯罪者盜取了 7,000 萬名 Sony PlayStation 玩家的帳號。同年，2 億 2,500 萬美元的線上虛擬寶物失竊。這可是一筆鉅款，網路犯罪者是如何取得的？

當你在電玩主機線上遊戲當中時，分得出虛擬和真實的界線嗎？你是否曾經想過其他玩家可經由你分享的遊戲資訊看到您的哪些訊息？

實際狀況是：遊戲經常讓人分不清虛擬和現實。

就以 Xbox One Kinect 2.0 的功能為例，它可記錄你的聲音,長相和體型，而且由於它隨時都在開啟狀態，因此你知道它已儲存了你的資料。再看看 PlayStation 4，它會掃描你房間的樣貌，然後將你和你的房間帶入虛擬世界當中。

點這裡看大圖

今日的遊戲與昔日的紙牌遊戲及桌上遊戲有很大不同。它們會要求你提供帳號及聯絡資訊，以便連結至你最愛的音樂、播放你訂閱的影片、瀏覽網站、甚至幫你貼文到 Facebook 或 Twitter 上。由於這些資料會連結您的姓名和遊戲帳號，因此對網路犯罪者來說很有價值。例如 2011 年，網路犯罪者盜取了 7,000 萬名 Sony PlayStation 玩家的帳號。同年，2 億 2,500 萬美元的線上虛擬寶物失竊。這可是一筆鉅款，網路犯罪者是如何取得的？

網路犯罪者會設下陷阱來引誘線上玩家。他們會對電玩主機相關的搜尋結果下毒。當您在搜尋引擎上輸入「Wii」的時候，您就可能找到網路上 4,696 個資料竊取網站之一，其中包括專門騙取個人資料的網路釣魚網站。當您在提供個人資訊或付款資訊之前，請務必確定自己連上的是真正的官方網站，您可以重複檢查一下連結的網址與品牌標誌。

唯有確實掌握才能維持安全。舉例來說，當您的電玩主機連上家用網路時，歹徒就可能窺探您的系統。凡有小孩的家庭皆應對一些常用功能設下限制，例如：可顯示的遊戲、電影及電視節目類型、網際網路的使用、線上互動等等，務必確保遊戲主機只能連上適合小朋友的安全網站。總之就是要確實掌握遊戲狀況。

@原文來源: https://about-threats.trendmicro.com/us/threat-intelligence/internet-of-everything/understanding-ioe/real-threats-found-in-virtual-gaming-consoles