《使命召唤》游戏作弊器使玩家遭到恶意软件的攻击

《使命召唤：战区》背后的公司动视发出警告，称有网络攻击者在大量投放游戏作弊工具的广告，而这些作弊工具却是远程访问木马（RAT）恶意软件 。

动视在警告中表示，这个骗局最早是在3月份被发现的，当时一名网络攻击者在黑客论坛上发帖称，他们有一个免费的、容易上手的方法来传播RAT：让受害者认为恶意软件其实是一个游戏作弊器。 

动视报告说："在使用游戏作弊程序时，用户通常的做法是以最高的系统权限来运行它，作弊程序的使用手册通常会要求用户禁用或卸载杀毒软件和主机防火墙，禁用内核代码签名等。"

动视补充说，当时，网络攻击者还发布了进行攻击的恶意软件，该文件获得了超过1万的浏览量和260个回复。报道称，该帖子在评论中还附有恶意软件的使用说明，并链接到了一个YouTube视频，该视频获得了5000次的浏览量。

COD Dropper工具

这是研究人员首次识别到该恶意软件，他们将其命名为 "COD-Dropper v0.1"。

动视在报告中补充道："恶意攻击者不需要投入数小时的时间来利用现有的漏洞或者创建复杂的攻击策略。他们可以转而创建一些伪装的很精致的游戏作弊器，如果该软件的定价有竞争力，就有可能获得一些玩家的关注，在2020年12月，恶意攻击者发布了一个'黑帽'教程。"

报告指出，许多游戏作弊器论坛一直都在阻止这些伪装的木马程序，这意味着攻击者需要时刻保持低调，防止被管理员踢出论坛。

报道称，"这则广告伪装的看起来并不是特别真实，但仍然有人回复该消息，询问是否有人尝试过，并且该广告一天后才被删除"。

最近在3月1日动视观察到，同样的广告又出现在了论坛上。YouTube上的一个绕过《COD：战区》反作弊检测系统的视频教程，详细说明了如何禁用杀毒软件并以管理员身份来运行程序，让恶意软件完全进入受害者的系统。 

该报告补充道："为试图进一步实施诈骗攻击，攻击者还提供了一个私人版本的作弊器，但是需要支付10美元的BTC"。评论显示，人们确实尝试并下载了该工具。

动视补充说，去年8月，YouTube上又出现了另一个传播同样恶意软件的视频，该视频曾获得了376次浏览。

动视指出，诱导玩家下载软件并不是什么有技术含量的行为。 

动视补充道："虽然这种方法相当简单，但归根结底是一种社会工程技术，它利用目标（想要作弊的玩家）心理的弱点，自愿降低安全保护措施，并忽视运行恶意软件的警告"。

恶意Dropper工具

动视解释说，该恶意软件是一个RAT工具，可以让攻击者完全访问受害者的机器，但它也是一个dropper病毒，可以自定义在受害者的计算机上运行的恶意代码。这次攻击中观察到的dropper是一个.NET应用，下载后会要求目标同意赋予该软件运行的权限。

根据报告称："一旦有效载荷被保存到磁盘上，应用程序会创建一个名为'CheatEngine.vbs'的VBScript，然后启动'CheatEngine.exe'进程，并删除'CheatEngine.exe'可执行文件。"

据分析，一旦受害者点击了Build按钮 ，应用程序就会用'dnlib'.NET汇编库检查'COD_bin'对象，它就会用提供的URL替换名为'[[URL]]'的URL占位符，并将'COD_bin'资源保存在一个新的文件名下。

游戏行业遭到攻击

游戏仍然是恶意攻击者进行攻击的重要目标。卡巴斯基在2020年的一项研究中发现，超过有61%的游戏玩家报告说，他们曾经遭遇到过某些骗局，包括盗取身份证的骗局等。

2020年末发布的《赛博朋克2077》被勒索软件攻击打垮了。而到了2月份，攻击者宣布准备对《赛博朋克2077》的源代码和未发布的《巫师3》游戏进行拍卖，开价100万美元。目前还不清楚这个消息是真实的还是只是虚张声势让《赛博朋克》的开发商CD Projekt Red支付赎金。

今年1月，超过有50万份被泄露的游戏公司内部的凭证在暗网上出售。同月，《生化危机》、《街头霸王》和《黑暗潜行者》背后的开发商Campcom也被黑客入侵，同时还有其40多万名用户的数据被泄露。

动视表示："视频游戏行业是各种威胁行为者的热门攻击目标，玩家以及游戏工作室和发行商本身都面临着有针对性的网络攻击的风险。攻击战术包括从利用虚假的流行移动游戏的APK文件，到窃取用户账户进行转售。甚至许多高级持久性威胁的攻击者也是针对视频游戏行业进行攻击的。"