منذ إصدارها في أكتوبر، أصبحت لعبة باتلفيلد 6 من أكثر إصدارات الألعاب ترقبًا هذا العام. ومع ذلك، استغل مجرمو الإنترنت هذه الشعبية بسرعة لنشر برمجيات خبيثة.
أنشأ المهاجمون نسخًا مزيفة مقرصنة من اللعبة وبرامج تدريب ألعاب احتيالية، ونشروها عبر مواقع التورنت والمنتديات السرية لاستهداف اللاعبين غير المنتبهين والأفراد الذين يبحثون عن تعديلات على اللعبة.
تنتحل الحملات الخبيثة صفة مجموعات اختراق ألعاب معروفة مثل I R Z وR U N E، مستخدمةً أسماءها الحقيقية لكسب ثقة المستخدمين ومصداقيتهم. ويشبه هذا الأسلوب هجمات انتحال هوية العلامات التجارية الشائعة المستخدمة في قطاعات أخرى.
قام المجرمون بتطوير ثلاثة أنواع مميزة من البرمجيات الخبيثة، كل منها يخدم أهدافًا مختلفة تتراوح من سرقة بيانات المتصفح وبيانات اعتماد محفظة العملات المشفرة إلى إنشاء تحكم عن بعد مستمر في الأنظمة المصابة.
الأمن في مختبرات B f r حملات البرامج الضارة هذه بعد تحليل عينات متعددة.
وأظهر التحقيق أن أيًا من الملفات الضارة لا يحتوي على وظائف حقيقية للعبة Battlefield 6، ومن المرجح أنها تأتي من مجموعات تهديد مختلفة بناءً على مناهجها التقنية المتنوعة.
يعمل النموذج الأول من البرامج الضارة كأداة بسيطة لكنها عدوانية لسرقة المعلومات، متخفية في صورة "مثبت Battlefield 6 T i n r". يمكن للمستخدمين اكتشافه بسهولة في صفحة نتائج بحث جوجل الثانية، مما يجعله في متناول الضحايا المحتملين.
استخراج البيانات الحساسة
بمجرد تشغيله، يقوم البرنامج الخبيث بمسح المجلدات المحلية وملفات تعريف الارتباط في المتصفحات لاستخراج بيانات حساسة، بما في ذلك معلومات محفظة العملات المشفرة، وجلسات ملفات تعريف الارتباط من متصفحات مثل Chrome وEdge وFirefox، ورموز جلسات D i r d وبيانات اعتمادها، وبيانات امتداد محفظة العملات المشفرة من إضافات Chrome مثل iWallet وYoroi.
تنتقل المعلومات المسروقة إلى الخادم 198.251.84.9 عبر بروتوكول HTTP غير المشفر دون أي محاولات تشويش.
يُظهر الإصدار الثاني، المعروف باسم "Battlefield 6.GOG-I R Z "، تطورًا ملحوظًا من خلال أساليب تهرب متقدمة.
يقوم البرنامج الخبيث بتنفيذ حظر التنفيذ الإقليمي الذي يوقف التشغيل عندما يكتشف إعدادات بلد رابطة الدول المستقلة، وهو إجراء حماية ذاتية شائع تستخدمه المجموعات الموجودة في تلك المناطق.
يستخدم البرنامج تجزئة واجهة برمجة تطبيقات ويندوز لإخفاء عملياته، ويُجري عمليات فحص للكشف عن الحماية باستخدام تحليل التوقيت لتحديد مدة تشغيل النظام.
بالإضافة إلى ذلك، كشف تحليل الذاكرة عن إشارات إلى أدوات تطوير مثل P t n وB k، مما يُشير إلى أن البرنامج الخبيث يستهدف بيانات اعتماد المطورين ومفاتيح واجهة برمجة التطبيقات لمزيد من الاستغلال.
العينة الثالثة، المُموّهة على هيئة صورة ISO للعبة Battlefield 6، تُقدّم برنامج تحكم وقيادة مستمر. يحتوي الملف التنفيذي، بحجم 25 ميجابايت، على بيانات مضغوطة تُفكّ وتُنشئ ملفًا باسم "2G Y w d a t" في مجلد المستخدم، ثم تُنفّذه تلقائيًا باستخدام regsvr32.exe.
يحاول ملف DLL المُثبّت الاتصال بـ ei-in-f101.1e100 مرارًا وتكرارًا، ويبدو أنه يستخدم بنية جوجل التحتية كوسيلة اتصال أو تمويه. يشير هيكل C2 إلى إمكانية تنفيذ أوامر عن بُعد أو سرقة بيانات مستقبلية.
.png "English"){kind=small}
0 تعليقات