سرقت اطلاعات مالی گیمرها با یک چیت جعلی

چیتی جعلی در بازی‌های ویدئویی در حال فریب گیمرها به دانلود و نصب بدافزار سرقت اطلاعات شخصی و مالی کاربران است.

به‌گزارش تک‌ناک، بدافزار سرقت اطلاعات جدیدی که با خانواده بدافزار Redline مرتبط است، خود را به‌عنوان نوعی تقلب بازی به نام Cheat Lab جا می‌زند و به دانلودکنندگانِ این بدافزار در‌صورت متقاعد‌کردن دوستانشان به نصب آن، یک نسخه رایگان را وعده می‌دهد. بلیپینگ‌کامپیوتر می‌نویسد که Redline بدافزار قدرتمند سرقت اطلاعات است که توانایی جمع‌آوری اطلاعات حساس از کامپیوترهای آلوده را دارد.

این اطلاعات شامل رمزهای عبور، کوکی‌ها، داده‌های تکمیل خودکار فرم‌ها و اطلاعات کیف‌پول ارزهای دیجیتال می‌شود. بدافزار مذکور در بین مجرمان سایبری بسیار محبوب است و از‌طریق کانال‌های توزیع متنوعی در سراسر جهان منتشر می‌شود.

پژوهشگران امنیتی مک‌آفی گزارش کرده‌اند که این ابزار جدیدِ سرقت اطلاعات از کد بایت‌کد Lua برای فرار از شناسایی استفاده می‌کند. این قابلیت به بدافزار اجازه می‌دهد تا به‌صورت مخفیانه خود را در فرایندهای مشروع تزریق کند و از مزایای عملکرد کامپایل Just-In-Time (JIT) نیز بهره‌مند شود.

پژوهشگران این گونه‌ جدید را به Redline مرتبط می‌دانند؛ زیرا از سرور فرمان و کنترلی استفاده می‌کند که قبلاً با این بدافزار شناخته شده بود. با‌این‌حال، طبق آزمایش‌ها BleepingComputer، این بدافزار رفتارهای معمولی مرتبط با Redline، مانند سرقت اطلاعات مرورگر و ذخیره رمز‌عبور و کوکی‌ها را نشان نمی‌دهد.

بدافزار یادشده ازطریق لینک‌هایی در مخزن گیت‌هاب متعلق به بسته‌های نرم‌افزاری مایکروسافت با نام «vcpkg» منتشر و به‌صورت فایل‌های فشرده ZIP توزیع می‌شود که حاوی نصب‌کننده MSI است. این نصب‌کننده در زمان اجرا دو فایل به نام‌های compiler.exe و lua51.dll را از حالت فشرده خارج و فایلی با نام readme.txt حاوی کد مخرب Lua bytecode ایجاد می‌کند.

برای فرار از شناسایی، کد مخرب این بدافزار به‌صورت فایل اجرایی توزیع نمی‌شود؛ بلکه به‌صورت کد بایت‌کد کامپایل‌نشده است. هنگام نصب، برنامه compiler.exe کد Lua bytecode ذخیره‌شده در فایل readme.txt را کامپایل و اجرا می‌کند. این فایل اجرایی با ایجاد تسک‌های زمان‌بندی‌شده که در زمان راه‌اندازی سیستم اجرا می‌شوند، پایداری خود را در سیستم قربانی تضمین می‌کند.

مک‌آفی گزارش می‌دهد که این بدافزار از مکانیزمی جایگزین برای پایداری استفاده می‌کند و سه فایل مذکور را در مسیری بلند و تصادفی زیر پوشه «ProgramData» کپی می‌کند. پس از فعال‌شدن در سیستم آلوده، بدافزار با سرور فرمان و کنترل ارتباط برقرار و اسکرین‌شات‌هایی از پنجره‌های فعال و اطلاعات سیستم را ارسال می‌کند و منتظر دستورها برای اجرا روی سیستم میزبان می‌ماند.

هنوز روش دقیق به‌کاررفته برای آلودگی اولیه مشخص نشده است؛ اما بدافزارهای سرقت اطلاعات معمولاً از‌طریق تبلیغات مخرب، توضیحات ویدئوهای یوتیوب، دانلودهای P2P و وب‌سایت‌های فریب‌دهنده دانلود نرم‌افزار منتشر می‌شوند.

این حمله نشان می‌دهد که حتی نصب برنامه‌ها از منابع به‌ظاهر مطمئن مانند گیت‌هاب مایکروسافت نیز می‌تواند به آلودگی با بدافزار Redline منجر شود. ازاین‌رو، به کاربران توصیه می‌کنیم که از اجرای فایل‌های اجرایی بدون امضا و فایل‌های دانلودشده از وب‌سایت‌های مشکوک خودداری کنند.