熱衷游戲作弊及破解？小心下載了惡意軟件

9月15日，卡巴斯基發布了一篇研究報告，表示注意到一種針對游戲作弊玩家的惡意捆綁包，該捆綁包通過YouTube上宣傳作弊及破解的視頻分享鏈接下載，內含RedLineStealer信息竊取惡意軟件和挖礦木馬。而不同尋常的是，該捆綁包能夠利用受害者的YouTube賬號繼續上傳作弊及破解視頻，從而進行裂變式傳播。

相關視頻涉及的游戲包括全面通緝、穿越火線、DayZ、消逝的光芒、F1? 22、模擬農場、Farthest Frontier、FIFA 22、最終幻想XIV、Forza、樂高星球大戰、Osu!等。

RedLine竊取器于2020年3月首次被發現，是目前最常見的木馬之一。該惡意軟件允許攻擊者竊取多種敏感信息，包括存儲在瀏覽器中的用戶名、密碼、Cookie、銀行卡詳細信息和自動填充數據，加密錢包、即時通訊工具和FTP / SSH / VPN客戶端數據，以及受感染設備上特定擴展名的文件。此外，RedLine還能夠下載和運行第三方程序，以cmd.exe執行命令以及在默認瀏覽器中打開鏈接。該惡意軟件在地下黑客論壇上公開售賣，較之其他惡意軟件，價格相對低廉，僅需幾百美元。

用戶通過視頻附帶的鏈接下載的原始壓縮包是一個自解壓的RAR檔案，其中包含惡意文件和自動運行解壓縮內容的腳本。

受害者雙擊自解壓文件時，將會運行三個可執行文件：第一個是上文提到的RedLine竊取器，第二個是加密貨幣挖礦木馬，最后一個可執行文件則會將自身復制到%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup目錄，以確保自動啟動并運行第一個批處理文件。

批處理文件會依次運行其他三個惡意文件：MakiseKurisu.exe、download.exe和upload.exe。這三個惡意文件分別負責提取Cookie以登陸受害者的YouTube賬號、下載相關視頻、上傳視頻至YouTube。

而且，如果這些受害者在YouTube平臺上不是很活躍，他們甚至有可能長時間都無法意識到他們正在YouTube上推廣惡意軟件。這種裂變式的傳播方法使得YouTube上的審查和刪除變得更加困難，因為附帶惡意軟件下載鏈接的視頻大部分是從無違規記錄的帳戶上傳的。

據統計，從2021年7月1日至2022年6月30日，遭遇與游戲相關的惡意軟件和垃圾軟件的用戶總數接近385000，其中超過91000個文件以Minecraft、Roblox、極品飛車、俠盜獵車手和使命召喚等游戲的名義分發。因此，對于游戲作弊和破解工具，最好保持一個謹慎的心態。