令人难以置信的热门视频游戏Fortnite的新赛季是在我们身上骗局也是如此。巧克力艺术家们会跳上这个潮流,渴望兜售他们的欺诈,这并不奇怪。
只有这一次,诈骗者才会比你典型的低级调查和从未实际实现的下载的下载更危险。在骗局的所有贪污中,那里有一个可恶意文件准备窃取数据并枚举比特币钱包,为初学者。
我们是怎么找到的?First, we sifted through a sizable mish-mash of free season six passes, supposedly “free” Android versions of Fortnite, which were leaked out from under the developer’s noses, the ever-popular blast of “free V-Bucks” used to purchase additional content in the game, and a lot of bogus cheats, wallhacks, and aimbots.
这是YouTube的当前状态,例如:
点击放大
这些视频可以推动巨大的数字:这是一个被拉下来的人,但是在锤子下降之前设法收到120,000次景观:
点击放大
几乎所有的骗局Tomfoolery都按照预期的典型调查路线。但埋藏在这一切中都是一个令人讨厌的小型数据被盗恶意软件伪装成一个欺骗工具。
在欺诈之下提供恶意文件,就像它所获得的旧学校一样,但这从未停止过网络犯罪分子。在这种情况下,遗嘱是骗子通过雏菊的点击链和(最终)一些恶意软件作为分手礼物的味道伴随着自己的药物。我们要看一下吗?
设置场景
提供此诈骗的YouTube帐户有一点超过700用户,并且上传后第二天的视频已经有超过2,200个次观看。
点击放大
单击该链接将潜在受害者发送到Sub2unlock上的页面。该网站与典型的调查页面不同,您通常会在其中点击优惠或填写问题以获得理论奖励。相反,它要求您在第一个地方向您发送给您的人的社交门户网站。所以有一个差异,右边是蝙蝠。
点击放大
另一个有趣的区别是任何初始调查页面都要求您在进步之前物理完成调查。如果没有这样做,您无法访问下载链接。
在这里,我们在测试期间没有验证。单击“订阅”按钮只打开YouTube频道的订阅页面,但没有选中以确保我们实际订阅。我们此时所要做的就是返回Suberlock站点,然后单击下载按钮。
从这里,游戏玩家被送往位于at的网站
BT-Fortnite-Cheats(Dot)TK
点击放大
这个网站是一个相当好看的门户网站,声称提供所需的欺诈工具,它具有令人信服的合法性年轻人的机会。一点点更多按钮单击,潜在的受害者被带到更普遍的下载网站,其中包含似乎是一个可怕的大量文件以及广泛的广告。
点击放大
就讨论的恶意文件而言,在撰写本文时,已有1,207次下载。这是1,207下载太多。
文件信息
必威平台APPMalwareBytes检测此文件Trojan.Malpack.,通用检测给定可怀疑包装的文件。实际的有效载荷可能是任何东西,但它总是不会好的。在这种情况下,一点点挖掘向我们展示了有效载荷是数据窃听者。
一旦初始.exe(仅在168kb的重量)上运行目标系统,它会对受感染的计算机的细节进行一些基本枚举。然后,它试图通过POST命令将数据发送到俄罗斯联邦的/index.php文件,由IP地址5(点)101(点)78(DOT)169提供。
其中一些最值得注意的事情是兴趣的是浏览器会话信息,饼干,比特币钱包以及蒸汽会话。
点击放大
奇异,它还向我们的测试系统写了以下内容:
点击放大
......感激死,任何人?
上面的IP地址已经多次与类似命名/主题文件相比多次。
我们看到类似于此类似的文件的许多文件都以完全不同的方式包装。其中一个有一个名为“偷窃者。”的过程。许多人员将被盗信息发布到/gate.php而不是index.php,这是ZBOT的常见标志和其他一些。
虽然这个博客的主题可能不是那么新的,但它仍然会对任何运行它的人造成公平的伤害。将其与新的Fortnite内容的当前发烧结合起来是被盗数据的配方和之后要求的许多清理。
作为最终的说明,我们应该提及偷窃者的自述文件,广告广告能够为“80美元的比特币”购买额外的Fortnite作弊。
点击放大
鉴于上面的事情淘汰了,我们建议任何人试图欺骗欺骗这一点。获胜是很棒的,但绝对不值得冒着巨大的个人信息,以完成工作。
评论