攻击者用成人游戏做诱饵:利用网盘传播恶意软件

近日，安全研究人员在韩国发现DDoS IRC Bot 的恶意样本伪装成了成人游戏，通过Webhards等网盘应用进行分发。

据悉，攻击者分发涉及的成人游戏有二十多款，均已做成压缩文件，受害者将这些压缩文件下载到本地后暂无异常。

通常情况下，用户会在压缩文件解压之后，点击文件中的Game_Open.exe运行游戏，一般的游戏玩家都会如此操作。

攻击者正是利用一般玩家的常规思路，Game_Open.exe文件并非游戏启动器，而是运行其他恶意文件的可执行程序。

文件被执行后会将相同路径下的PN更名为scall.dll并执行，再将原始游戏可执行文件index更名为Game.exe并运行。

之后Game_Open.exe文件会被自动隐藏，scall.dll则将相同路径下的srt文件移动到C:\Program Files\EdmGen.exe。

之后，EdmGen.exe文件会自动运行受害者设备中正常程序vbc.exe进行持久化进程驻留，从而将恶意代码注入其中。

通过上述一系列操作之后，这个样本变成使用Golang开发的Downloader，当然，普通用户对这一过程是无感知的。

之后，恶意软件就会定期与C&C服务器通信获取后续恶意样本，便于在接收到攻击者指令时对目标展开DDoS攻击。

资料显示，Webhards是韩国流行的文件分享平台，通俗理解就是云盘，因其直接下载的便捷性而拥有海量用户基数。

但这也导致Webhards等平台无形中成为攻击者惯用的分发RAT恶意软件的渠道，此前就曾传播过njRAT和UDP RAT。

安全研究人员分别对病毒样本进行分析发现，UDP RAT和此次的DDoS IRC Bot 病毒样本应该是同一攻击团队手笔。

原因是两个样本都是假借成人游戏，且与两者配合使用的DDoS Bot 都是利用开源的Simple-IRC-Botnet 开发完成的。

只不过前者的Downloader使用C#编写，后者的Downloader是使用Golang开发的，后者的DDoS IRC Bot 也是如此。

这倒也不难理解，Golang的开发难度相对更低且支持跨平台应用，毕竟Go语言现在不管是国内还是国外都非常流行。

另外，UDP RAT只支持UDP洪水，而Golang DDoS IRC Bot则支持Slowris、Goldeneye、Hulk DDoS等诸多攻击方式。

更先进的DDoS IRC Bo使用IRC协议与C&C服务器通信，一旦接收到攻击者指令的时候，就会对目标发起DDoS攻击。

目前无法证实病毒是否由其原始开发者进行传播，但安全人员发现他们之前发布的不少帖子在分发相同的木马病毒。

攻击者发布的帖子中宣称的成人游戏都不相同，但安全人士对比分析发现，这些压缩包里的恶意软件其实是一样的。

因此，我们可以默认为就是这帮黑客团伙在借助所谓的成人游戏传播木马病毒，并将受害者设备作为肉鸡等待指令。

尽管这事儿是发生在韩国的，但笔者还是得给国内的朋友提个醒，违法的事情千万不要干、违法的游戏千万不能玩。