Truva atlarını hacklemek çılgınca oyun parasını çalıyor ve hatta reklam vermek için arama motorlarını kullanıyor mu?
Beklenmedik bir şekilde, mevcut bilgisayar korsanlığı Truva atları arama motorlarında reklam vermeye başladı.
Bir arama motorunda doğrudan "Montaj Numarası" araması yapın ve arama sonuçlarında reklam işaretli ilk iki resmi olmayan "Montaj Numarası" oyun URL'sinde görünecek belirli bir frekans olacaktır.
İlk URL'yi açmak için doğrudan tıklayın, web sitesine girin ve sayfanın çok gerçekçi olduğunu görün.Yüksek taklit bir satranç ve kart oyunu web sitesidir. Aslında, herhangi bir düğmeye tıkladığınızda aşağıda gösterilen aynı indirme adresi açılır. İndirilen dosya çalınan hesabı içerir. Trojan'ın "Montaj Numarası" oyun kurulum paketi.
Test, arama motoruna "Montaj Numarası" nı doğrudan girmeye ek olarak, "Montaj Numarası Çubuğu" aramanın, ilk arama kaydında yukarıdaki Truva atı kimlik avı URL'sini istikrarlı bir şekilde görebildiğini buldu.
Ancak, kayıttan kaçındıktan ve ikinci gerçek "Montaj No." URL'sini tıkladıktan sonra, bu teşvik edici reklamın "Orijinal İndirme Birleştirme No." başlığıyla devam ettiğini, ancak açıldıktan sonra hala kimlik avı web sitesiydi.
Bu reklamı bir daha göz ardı edin ve "Montaj Numarası" hakkında biraz bilgi almak için posta çubuğundaki içeriği kontrol edin. Her şeyden önce, hala bu tür masa oyunlarını oynayan birçok kullanıcı olduğunu fark ettim ve çok bağımlılık yapıyorlar. Birçok kullanıcı bundan çok para bile alıyor. Aşağıdaki gönderi bir kullanıcıdan bir şikayet.
Sonra, Post Bar'daki pek çok kullanıcının bu sektörde sık sık aldatıldığını gördüm. Görünüşe göre "banka tüccarları" olarak adlandırılan "sanal altın paraların" yeniden satışında uzmanlaşmış bir tür aracı var ve pek çok kullanıcı güvenilmez kanallardan şarj etmek için onları bularak aldatıldı.
Son olarak, bazı kullanıcıların hesaplarının sebepsiz yere çalındığını ve posta çubuğunda sanal altınların çalındığını bildirdiklerini fark ettim ki bu da bu çevredeki kaosu bir kez daha doğruladı.
Aslında, bu tür kimlik avı web sitelerinin yayılması ve engellenmesi aslında uzun zamandır ortalıktaydı ve suç çetesi bu siyah endüstriyi yürütmek için çok sayıda kimlik avı sayfası üretti.Aşağıdaki şekil, bazı kimlik avı web sitelerinden çıkarılan alt alan önekini ve ana alan adını göstermektedir. İki bölümde, suç özellikleri nispeten açıktır.
[Resim kaynağı: 360]
Truva atı analizi
360 güvenlikli beyin izleme sistemine göre, arama motoru reklamcılığı yoluyla yaygın olarak yayılan bu oyun hackleme Truva Atı, kullanıcıların "sanal mülklerinde" büyük bir kayıp dalgasına neden olabilir. Burada, bilgisayar korsanlığı Truva Atı'nın iş akışını analiz etmek için yukarıda belirtilen popüler kimlik avı web sitesinden indirilen oyun yükleme paketini örnek olarak alıyoruz.
İndirilen kurulum paketi, resmi "Montaj Numarası" oyun modülünü yeniden paketler, kendi kötü amaçlı modülünü paketler ve dosyayı doğrudan çıkarır ve bir şifre gerektiğini bulur:
Paketlenmiş kötü amaçlı modüller aşağıdaki gibidir. Bu modüllerin yüklenip yüklenmediği, belirtilen "checkP1" işlevine göre değerlendirilmelidir:
"CheckP1" işlevinin yargısı nispeten basittir.Sanal makine, işlem listesinde "vmtoolsd.exe" olup olmadığını sorgulamak için bir WBEMScripting komut dosyası çalıştırılarak algılanır. Yükleme paketi vm sanal makinede çalışıyorsa, kötü amaçlı modül serbest bırakılmaz.
Kurulum testi gerçek bir ortamda gerçekleştirilir.Kurulum tamamlandıktan sonra "cxrdo.exe" programı otomatik olarak kötü amaçlı modül "libcef.dll" yi başlatmak için çalıştırılır.Bu işlem "beyaz artı siyah" kullanımına bir örnektir.
Kötü amaçlı "libcef.dll" modülü başlatıldıktan sonra, oyunun başlamasını sağlamak için "Montaj Numarası" kurulum dizinindeki program modüllerini değiştirmek için kullanılan üç çalışma modülünün dosya adlarını ve karma değerlerini içeren "update.xml" yapılandırma listesini çevrimiçi olarak indirin. Kötü amaçlı kod yükleyebilir.
Üç çalışan modül arasında, "AutoUpdateCHS.dll", "Assembly Number" oyununun başlatma işlemi sırasında otomatik olarak çalışan "AutoUpdate.exe" güncelleme programını ele geçirmek için kullanılır. Asıl görev, "GamePlaza.xml" yapılandırma listesini çevrimiçi olarak indirmek ve satranç ve kart oyunlarını güncellemektir. Modül, oyunun kararlı bir şekilde çalışmasını ve kötü amaçlı kod içermesini sağlar.
Diğer iki çalışan modül olan "Voice.dll" ve "Mfc71.dll" de "beyaz artı siyah" ın bir örneği olarak kabul edilebilir. Masa oyununun ana programı "GamePlaza.exe", başlatma işlemi sırasında otomatik olarak "Mfc71.dll" dosyasını içe aktaracaktır. Kütüphaneyi çalıştırın, ancak kütüphane "Voice.dll" modülünü tanıtır ve oyun hackleme görevini yerine getirmeye başladığında kötü amaçlı modül "Voice.dll" otomatik olarak yüklenecektir.
Kötü amaçlı modül "Voice.dll", bu bilgisayar korsanlığı Truva Atı'nın temel işlevsel modülüdür ve analizlere karşı çok sayıda kod gizleme içerir. Hata ayıklama işlemi sırasında, modülün "Montaj Numarası" oyununun başlatılması sırasında yüklenen birden çok program modülünü bağladığı, örneğin "GamePlaza.exe", "ChannelModule.dll", vb. Bulundu, ancak gerçek numara hackleme işlemi bunu uygulamadı. Tahmin, daha önce kullanılan hackleme yönteminin kaldırılmamış olmasıdır.
Oyun henüz başladığında, kötü amaçlı modül, "111.230.126.189:5712" CC sunucusuna şifrelenmiş bir çevrimiçi paket gönderir ve sunucu, "montaj numarası" nın oturum açma sunucusu adres bilgilerini içeren şifreli bir kontrol mesajı döndürür. Bu oturum açma sunucuları uygun şekilde Oyun giriş penceresinin sunucu listesi aslında Truva atı yazarı tarafından dinamik olarak kontrol edilir, bu da kullanıcı giriş adımının Truva atı tarafından tamamen ele geçirildiği anlamına gelir.
Kullanıcı hesabı ve parolayı girdiğinde ve oturum açmak için tıkladığında, giriş doğrulaması, önce hesabın ve parolanın meşruiyetini uzaktan doğrulamak için yukarıda belirtilen dinamik olarak kontrol edilen oturum açma sunucusundan geçer. Hesap ve parola yanlışsa, bir istem açılır ve hesap ve parola bir sonraki adıma geri döndürülür.
Kullanıcı başarıyla oturum açtıktan sonra, Truva Atı çalınan hesap parolasını ve diğer oturum açma bilgilerini json veri biçiminde düzenler ve CC sunucusuna şifreler. Döndürülen bilgi alanları aşağıdaki gibidir:
Bu noktada, kullanıcı hesabı Trojan tarafından başarıyla çalındı.Bundan sonra, kullanıcı oyun istemcisini herhangi bir etki olmadan normal şekilde kullanabilir.Truva modülü, kullanıcı hesabı şifresini çalma amacına ulaşmak için resmi oyunun giriş sürecini devralır.
Oyun Krypton oyuncuları için, oyunu resmi ve güvenli indirme kanalları aracılığıyla yüklemeye çalışın ve kayıpları önlemek için kaynağı bilinmeyen oyun eklentilerini dikkatli kullanın.
Kaynak: 360 Core Security
Lei Feng Ağı Lei Feng Ağı Lei Feng Ağı
