导语:针对游戏玩家的网络攻击并不新鲜,我们曾经也报道过许多类似的事件,从伪装游戏应用程序到通过在线游戏币实时洗钱。
针对游戏玩家的网络攻击并不新鲜,我们曾经也报道过许多类似的事件,从伪装游戏应用程序到通过在线游戏币实时洗钱。通常情况下,黑客对游戏玩家进行攻击的目的就是窃取个人信息并获利,所以攻击的目标都会选定在游戏本身。
不过,本文所要分析的攻击,却不属于以上的任何一种。黑客不针对游戏本身,而是针对 ROBLOX游戏玩家所使用的通信工具——Discord。
Discord
Discord 是一个非常受欢迎的文字和语音聊天程序。虽然开始时主要面向游戏玩家,但它几乎获得了所有人的了广泛青睐,目前注册用户有4500万。
Discord 不仅仅是一个很好的聊天客户端。当你安装它时,你还可以获得其强大的服务端功能,强力而自足。游戏玩家和非玩家都可以在几分钟内开启自己的私人聊天服务,这使 Discord 成为团队、游戏公会和各种社区的最爱。
Linux 用户经常被游戏世界遗忘,但 Discord的开发人员也在 Linux 下积极构建并维护其流行聊天平台。Ubuntu 用户甚至拥有更好的待遇,Discord 捆绑在方便的 Debian/Ubuntu .deb 包中。
ROBLOX
本文攻击的游戏对象就是ROBLOX,这是一款非常受欢迎的大型多人在线游戏,拥有超过1.78亿注册帐户和超过1200万个月活跃用户。游戏最特别的地方在于融合了多种跨平台游戏的玩法,玩家可以自定义的创造各种类型的游戏,可自定义角色外貌和服饰,探索成千上万的游戏内容。另外,玩家还可以与其他人分享,有着强烈的社交网络元素,最重要的是玩家可以把游戏的虚拟货币兑换为真实货币。
对Discord的攻击
网络犯罪分子是如何攻击ROBLOX玩家的呢?通过我们的研究,我们发现网络犯罪分子利用Discord的内置功能,即其应用程序编程接口(API),使其能够运行用户创建的代码和应用程序。除了使用内置功能外,网络犯罪分子也可以从使用Discord的目标系统中窃取包含ROBLOX登录凭据的浏览器Cookie,具体地说,就是Discord的webhook属性被黑客利用了。简单地说, webhook允许Discord在指定的应用程序或程序的某些要求得到满足时向指定的频道或用户发送消息,通过这种方式,Discord就可以被黑客用作信息渗透渠道。
译者注:Webhook就是用户通过自定义回调函数的方式来改变Web应用的一种行为,这些回调函数可以由不是该Web应用官方的第三方用户或者开发人员来维护,修改。通过Webhook,你可以自定义一些行为通知到指定的URL去。
通过以下4个步骤就可以实施webhoo攻击:
1.目标系统感染了恶意软件,趋势科技就发现了这个样本,并检测为TSPY_RAPID.A。它最初是在游戏论坛上看到的,在那里发布的用户声称这是一个“欺骗应用”,允许玩家修改他们的角色,从而比其他玩家获得更多的游戏优势。这个恶意软件有一个Discord webhook编码,如下所示(SHA256:a983e78219bf3c711c21c7dc23f03dca621ed5861578a8848a954ad9ac9f20e5)
上图是末尾附有Discord webhook的恶意软件代码截图
2.恶意软件开始驻留潜伏直到它在受害者系统中检测到ROBLOX,一旦发现ROBLOX,它会窃取用户的游戏帐户cookie。
3.恶意软件使用Discord将被盗的Cookie发送并连接到Discord的指定频道或用户。
4. 然后黑客利用被盗的cookie登录受攻击的ROBLOX帐户,以窃取存储ROBU的虚拟币。
目前,已检测到此恶意软件TSPY_RAPID.D已经出现了变体,并在受影响的系统上持续运行,新的变体可以在攻击ROBLOX时,让玩家无法修改密码,并获取玩家的Cookie,这与TSPY_RAPID.A的最初功能很不同。新版本还会用恶意版本替换ROBLOX可执行文件,让它显示一条假消息通知受害者ROBLOX进程已经崩溃。
上图为假的ROBLOX崩溃通知消息框
上图为Stolen ROBLOX浏览器cookie的屏幕截图
这不是网络犯罪分子通过利用其API来强制Discord执行的唯一恶意例程,事实上,我们的分析表明,只需要一些小的修改,网络犯罪分子就可能会将恶意软件转变为命令和控制(C&C)基础设施,使他们能够与恶意软件通信,而无需为自制的替代品花费资源。
关于详细的“网络犯罪分子滥用聊天程序API作为命令与控制基础设施”的深度报告请点击此链接:https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/how-new-chat-platforms-abused-by-cybercriminals
你可以仔细阅读本文,并学习如何在家里和工作场所缓解这个攻击。
缓解方案和对策
目前,关于针对Discord的这种特殊攻击,专家们还没有找到简单的解决办法。 Discord的API功能是聊天平台功能的关键,只有保护好,才能避免被恶意软件利用。不过,目前的问题是,由于无法提前预防,所以受害者一旦发现,就意味着被攻击了。恶意软件目前已经在使用Discord作为C&C服务器,因此,最好的防御办法,就是卸掉该聊天程序。
网络犯罪分子在游戏论坛中针对特定游戏的玩家的事实也是值得注意的事情。
为了使Discord平台更安全,我们还与他们合作,以识别和提前消除其网络中的遇到的这种威胁。
以下是对Discord以及任何聊天平台用户的安全建议:
1.始终保持系统上的安全解决方案处于最新版本,以防止新的恶意软件感染,例如本文所检测到的恶意软件(TSPY_RAPID.A和TSPY_RAPID.D)。
2.不要点击可疑链接,甚至是朋友发送的链接。
3.不要下载任何可疑文件,甚至是朋友发送的文件。
4.即使你的朋友通过聊天平台询问你的隐私信息,你也不要告诉他,因为很可能对方不是本人。
5.对于那些要求你试用各种应用程序的人,一定要保持警惕。