疫情大流行期间乃至后疫情时代,游戏行业始终在蓬勃发展。据分析机构Newzoo称,到2022年,全球游戏市场将超过2000亿美元,全球玩家将达到30亿。这种参与度高、有偿付能力且渴望获胜的庞大受众群,无疑也吸引了网络犯罪分子的目光,他们开始想法设法地攻击受害者。
其中,最突出的案例之一是,2022年6月,CS:GO圈内饰品收藏大佬的账号遭到黑客攻击,价值超过200万美元的CS饰品被盗,包括7把纪念品龙狙、估值126万美元的蓝宝石爪刀,以及“传说”中的无星爪刀等。值得一提的是,这些被盗取走的物品一半被放在一些第三方交易网站上以低价售卖,另一半库存还在黑客的Steam账号上,呈锁定状态。
当然,除了窃取个人凭据和资金外,黑客还可以影响游戏计算机的性能,用未经请求的挖矿文件感染这些计算机。
下述报告中,我们将向游戏玩家提供有关网络威胁的最新统计数据,以及玩家必须注意的最广泛且最危险的恶意软件类型的详细信息。
主要发现
从2021年7月1日到2022年6月30日,遇到与游戏相关的恶意软件和垃圾软件的用户总数为38.4224万人,以28个游戏或系列游戏为幌子分发了91,984个文件;
从2021年7月1日到2022年6月30日,在针对最多用户的攻击中,排名前5的PC游戏或游戏系列诱饵分别是《我的世界》、《Roblox》、《极品飞车》、《侠盗猎车手》和《使命召唤》;
与《我的世界》相关的恶意和垃圾文件数量同比下降了36%(2022年为23,239;2021年为36,336),受影响的用户数量同比下降了近30%(2022年为131,005;2021年为184,887);
从2021年7月1日到2022年6月30日,吸引最多用户的前5名手游分别是《我的世界》、《Roblox》、《侠盗猎车手》、《绝地求生》和《FIFA》;在2022年上半年,研究观察到受到窃密程序攻击的用户数量明显增加,比2021年上半年增加了13%;
在2022年上半年,攻击者加大了传播Trojan-PSW的力度:77%的窃密恶意软件感染案例与Trojan-PSW相关;
作为作弊程序传播的恶意软件和垃圾软件对游戏玩家的安全构成了严重的威胁,尤其是对于那些热衷于流行游戏系列的人:从2021年7月1日到2022年6月30日,研究检测到3154个唯一文件,影响了13,689名用户;
挖矿程序对玩家体验构成了越来越大的威胁,其中《孤岛惊魂》、《Roblox》、《我的世界》、《Valorant》和《FIFA》是最常被用作挖矿诱饵的游戏系列;从2021年7月1日到2022年6月30日,共计检测到1,367个唯一文件,影响了3,374名用户。
TOP游戏榜(按相关威胁数量排名)
去年,从2021年7月到2022年6月,91,984个包含恶意软件和垃圾应用程序的文件使用流行游戏作为诱饵分发,影响了全球384,224名用户。
延续2021年观察到的趋势,著名的沙盒游戏《我的世界(Minecraft)》作为十多年来全球最受欢迎的游戏之一,也在最常被用作诱饵的游戏中排名第一,从2021年7月到2022年6月,使用《我的世界》传播的23,239 个文件影响了131,005名用户。然而,与《我的世界》相关的恶意和垃圾文件数量同比下降了36%,受影响的用户数量也同比下降了近30%。
《FIFA》、《Roblox》、《孤岛惊魂(Far Cry)》和《使命召唤(Call of Duty)》紧随其后,也是最常被用作诱饵的游戏系列。此外,大量用户在搜索《极品飞车(Need for Speed)》、《侠盗猎车手(Grand Theft Auto)》等相关内容时同样遭遇了攻击。
分发文件最多的10个的游戏诱饵:
游戏名称 | 分发文件数量 |
我的世界(Minecraft) | 23239 |
FIFA | 10776 |
Roblox | 8903 |
孤岛惊魂(Far Cry) | 8736 |
使命召唤(Call of Duty) | 8319 |
极品飞车(Need for Speed) | 7569 |
侠盗猎车手(Grand Theft Auto) | 7125 |
Valorant | 5426 |
The Sims | 5005 |
CS:GO | 4790 |
影响用户最多的10个游戏诱饵:
游戏名称 | 影响用户数量 |
我的世界(Minecraft) | 131005 |
Roblox | 38838 |
极品飞车(Need for Speed) | 32314 |
侠盗猎车手(Grand Theft Auto) | 31752 |
使命召唤(Call of Duty) | 30401 |
FIFA | 26832 |
The Sims | 26319 |
Far Cry | 18530 |
CS:GO | 18031 |
绝地求生(PUBG) | 9553 |
随着手机游戏市场的持续发展,研究人员还专门分析了移动威胁的相关数据。结果显示,从2021年7月1日到2022年6月30日,遥测数据显示,31581名移动用户接触到与游戏相关的恶意软件和垃圾软件。在给定时间段内发现的唯一恶意和垃圾文件的数量为5976。其中,《我的世界》、《Roblox》、《侠盗猎车手》、《绝地求生》和《FIFA》是影响用户数量排名最高的游戏。
游戏名称 | 影响用户数量 |
Minecraft(我的世界) | 26270 |
Roblox | 1186 |
侠盗猎车手(Grand Theft Auto) | 927 |
绝地求生(PUBG) | 666 |
FIFA | 619 |
2021年7月1日-2022年6月30日,TOP5被用作诱饵传播恶意软件和垃圾软件的手机游戏(按受影响用户数量排名)
游戏名称 | 分发文件数量 |
Minecraft(我的世界) | 2406 |
侠盗猎车手(Grand Theft Auto) | 948 |
绝地求生(PUBG) | 624 |
Roblox | 612 |
FIFA | 293 |
2021年7月1日-2022年6月30日,TOP5被用作诱饵传播恶意软件和垃圾软件的手机游戏(按文件分发数量排名)
以游戏为诱饵的网络威胁
自去年以来,影响游戏玩家的威胁总体格局没有太大变化。尽管如此,Downloader(88.56%)仍然高居利用流行游戏名称传播的恶意和垃圾软件的榜首:这种类型的未经请求的软件本身可能并不危险,但它可用于将其他威胁加载到设备上。广告软件(4.19%)位居第二:此类软件会在用户的电脑或移动设备上显示不需要的弹出广告。
以流行游戏为诱饵的各种木马的份额依然稳固,Trojan-SMS、Trojan-Downloader和Trojan-Spy位居TOP10威胁之列。
威胁类型 | 影响占比 |
Downloader | 88.56% |
AdWare | 4.19% |
Trojan | 2.99% |
DangerousObject | 0.86% |
Trojan-SMS | 0.49% |
Trojan-Downloader | 0.48% |
WebToolbar | 0.47% |
RiskTool | 0.45% |
Exploit | 0.34% |
Trojan-Spy | 0.29% |
2021年7月1日-2022年6月30日,以流行游戏为诱饵在全球分布的10大威胁
网络犯罪分子瞄准玩家的账户和资金
从不可靠的来源下载游戏时,玩家可能会碰到恶意软件,这些软件可以从受害者的设备中收集登录信息或密码等敏感数据;此外,为了免费下载想要的游戏而去寻找破译版本或作弊,游戏玩家的账户甚至金钱都会受到攻击。研究表明,使用恶意软件从受感染设备窃取敏感数据的攻击有所增加。其中包括收集受害者凭据的Trojan-PSW(密码窃取软件)、窃取支付数据的Trojan-Banker以及收集游戏帐户登录信息的Trojan-GameThief等。
从2021年7月1日到2022年6月30日,卡巴斯基安全解决方案共检测到6491名用户受到3705个此类唯一恶意文件的影响。在2022年上半年,研究观察到受到攻击的用户数量同比显著增长:与2021年上半年相比增长13%。与2021年上半年相比,用于攻击用户的唯一文件数量在2022年上半年也增加了近四分之一:从1530个增加到1868个。
从2021年7月1日到2022年6月30日,77%的数据窃取程序感染案例为Trojan-PSW感染。另外22%的感染尝试与Trojan-Banker有关,而Trojan-GameThief文件仅占不到所有感染案例的1%。
2021年7月1日-2022年6月30日,以流行游戏为诱饵从受感染设备窃取敏感数据的恶意软件类型分布
TOP 3威胁家族
从2021年7月1日到2022年6月30日,从受感染设备中窃取数据的TOP 3威胁家族(按受攻击用户数量)分别为:
Trojan-PSW.MSIL.Reline/RedLine
RedLine Stealer是一种密码窃取软件,网络犯罪分子可以在黑客论坛上以极低的价格购买该软件。从2021年7月1日到2022年6月30日,2362名独立用户受到RedLine的攻击,通过使用流行的游戏标题和系列作为诱饵进行传播,这使其成为最活跃的数据窃取恶意软件家族。一旦在受攻击的系统上执行,RedLineStealer就会收集系统信息,包括设备用户名、操作系统类型以及有关硬件、安装的浏览器和防病毒解决方案的信息。它的主要窃取功能包括从浏览器中提取密码、cookie、卡详细信息和自动填充数据、加密货币钱包秘密、VPN服务凭据等数据。然后将被盗信息发送到由攻击者控制的远程C&C服务器,攻击者随后就会掏空受害者的账户。
RedLine代码显示,根据配置,恶意软件可以窃取浏览器密码、加密货币钱包数据和VPN客户端密码
Trojan-PSW.Win32.Convagent 和 Trojan-PSW.Win32.Stealer
这两个恶意软件家族都涉及从受害者受感染设备收集、分析和窃取数据。从2021年7月1日到2022年6月30日,共计1126名用户受到Convagent恶意软件家族影响,1024名用户受到Stealer家族影响。
大多数情况下,当玩家试图从一个三级网站而非官方网站下载流行游戏时,他们的设备上就会安装恶意软件,并窃取其敏感数据。例如,攻击者正以多款破解的流行游戏为幌子传播Swarez dropper。Swarez是用ZIP压缩文件传播的,其中包含一个受密码保护的ZIP文件和一个带有密码的文本文档。启动恶意软件会导致解密并激活一个名为Taurus的木马窃取程序。后者具有广泛的功能:它可以窃取cookie、保存的密码、浏览器表单和加密货币钱包数据的自动填充数据、收集系统信息、从桌面窃取.txt文件并制作屏幕截图。
攻击者经常故意以拥有大批永久受众(例如Roblox、FIFA或 Minecraft)或最近发布的游戏和游戏系列为幌子传播威胁。研究发现,从2021年7月1日到2022年6月30日,网络犯罪分子用来传播秘密窃取软件的TOP 5游戏诱饵包括《Valoran》、《Roblox》、《FIFA》、《我的世界》和《孤岛惊魂》。
游戏名称 | 受影响用户数量 |
Valorant | 1777 |
Roblox | 1733 |
FIFA | 843 |
我的世界 | 708 |
孤岛惊魂 | 389 |
2021年7月1日-2022年6月30日,攻击者用来引诱用户下载恶意软件、从受感染设备窃取机密的前5名游戏
用于网络钓鱼的游戏
游戏玩家面临的最广泛的网络威胁之一是网络钓鱼,这是一种社会工程手段,攻击者会伪装成合法且值得信赖的实体,以鼓励用户提供敏感数据,例如帐户凭据或财务信息。
在2021年7月1日至2022年6月30日期间,卡巴斯基安全解决方案检测到3116782起与网络游戏中的钓鱼活动有关的攻击。此类活动的目的大多为获取用户凭据或接管游戏账户。
例如,研究人员发现了一些针对《侠盗猎车手》在线玩家的钓鱼活动示例:网络犯罪分子创建了一个虚假网站,发布了一个游戏内的货币生成器。想要使用它,玩家必须用自己的游戏账户登录。一旦共享了凭据,攻击者就可以获得诸如游戏账户、电话号码、甚至银行详细信息等敏感信息。
向侠盗猎车手在线模式玩家提供的欺诈性货币生成器
提供简单的游戏内资金来实现网络钓鱼者的恶意目标是去年报告中发现的一个明显趋势,且一直延续至今年。例如,通过模仿多人免费英雄射击游戏《Apex Legends》,诈骗者创建了一个虚假网站,邀请玩家参加抽奖以赢取游戏内的金币。为了试试运气,玩家被要求输入他们的登录凭据。一旦输入了用户名或玩家ID及密码,该账号就会被诈骗者接管。
虚假的Apex Legends网站邀请玩家参与赠送游戏币的活动,一旦玩家输入用户名和密码,攻击者就会入侵其账户
今年,网络犯罪分子已学会模仿许多流行游戏的游戏内商店的整个界面。最著名的例子包括以CS:GO、PUBG和Warface的名义推出的虚假商店。为了获得更好的战绩,玩家需要在游戏商店中获取大量武器和神器。诈骗者正是利用这一点,通过复制真实的游戏外观来创建欺诈性商店来欺骗玩家,最终目的是接管他们的账户或窃取他们的资金。
由攻击者创建的虚假CS:GO游戏商店
攻击者模仿《绝地求生》的手机界面创建了虚假的游戏商店,该计划鼓励用户使用他们的社交媒体凭据登录
挖矿活动:破坏游戏体验的程序
挖矿程序可能会对计算机的性能产生不利影响。一旦在受影响的计算机上启动一个挖矿活动文件,它就会开始使用设备的资源来挖掘加密货币。当涉及到不请自来、违背用户意愿干扰用户操作系统的挖矿活动时,情况可能会变得更糟——尤其是对于那些重视计算机运行速度的游戏玩家而言。
分析数据显示,诞生18年、衍生出6个版本的游戏系列《孤岛惊魂》被证明是未经请求的挖矿活动中最受欢迎的游戏,分发了510 个恶意文件,影响了10500名用户。其他挖矿诱饵包括拥有406个唯一文件的《我的世界》和拥有93个文件的Valorant。
总体而言,从2021年7月1日到2022年6月30日,共计检测到1,367个唯一的挖矿文件,影响了3,374名用户。也就是说,与2021年上半年(2086人)相比,受挖矿活动影响的用户数量在2022年上半年同比减少了一半(1022人),这可能与比特币汇率的急剧下跌有关。有趣的是,与2021年上半年(383个)相比,2022年上半年(497个)的唯一矿工文件数量增加了30%。
除此之外,网络犯罪分子还散布了与挖矿相关的恶意软件。例如,虚拟角色扮演游戏《Elden Ring》被攻击者用作传播OpenSUpdater的诱饵。OpenSUpdater是一种伪装成破解版游戏的木马,一旦安装,就会下载并安装各种垃圾程序和挖矿活动到受害者的设备上。
OpenSUpdater活动只针对某些国家的用户,因此如果用户的IP地址不满足分发服务器的区域要求,就会下载干净的软件,例如7zip档案管理器。受影响的用户将收到一个提供各种有效负载的安装程序,包括合法软件、垃圾应用程序和挖矿活动。感染链分为两个阶段:在第一阶段,安装一个恶意下载程序。该下载程序的代码由威胁参与者通过使用各种模糊化和反仿真技术每周更新几次。这些变更的主要目的是使威胁调查和监测复杂化。第二阶段是安装程序本身。
作弊?还是被骗?
玩家追求最佳战绩,“作弊”也就由此而生。所谓“作弊”即通过代码或安装软件来帮助玩家创造超出自身能力的优势。如今,网络犯罪分子正试图通过创造虚假的作弊程序来欺骗玩家,这些程序不但无法提供优势,反而会对计算机性能产生负面影响,甚至窃取玩家的数据。
从2021年7月1日到2022年6月30日,共计检测到3154个作为最受欢迎游戏的作弊程序传播的文件,影响了13689名用户。绝大多数模仿作弊程序的文件都与《反恐精英:全球进攻》(418个)、《Roblox》和《英勇战士》(二者都有332个文件)以及《全面战争》(284个)有关。与此同时,《极品飞车》影响用户数量(3256)位居第一。
安全建议
多年来,游戏行业持续发展,我们预计,明年会看到更多攻击/欺骗游戏玩家的新方式,例如通过电子竞技的主题的攻击正在全世界范围内流行开来。这再次强调了安全防护的重要性。以下是保持在线游戏安全的相关建议:
尽可能使用双重身份验证保护帐户。如果不能,至少梳理一下帐户设置;
为每个账户使用唯一的强密码。即便其中一个密码泄露也不至影响其他账户安全;
使用强大、可靠的安全解决方案;
仅从Steam、Apple App Store、Google Play或Amazon Appstore等官方商店下载游戏。虽然此举并非百分百安全,但来自这些商店的游戏都会经过筛选,以确保不会随机发布应用;
如果官方商店没有想要的游戏,请仅从官方网站购买。务必仔细检查网站的URL以确保它是真实的;
避免购买弹窗里的购买链接,购买之前建议浏览游戏评论,以查询是否存在异常;
谨防网络钓鱼活动和陌生玩家。除非信任发件人,否则请勿打开电子邮件或游戏聊天中收到的链接,更不要打开陌生人发送的文件;
仔细检查任何要求提供用户名和密码的网站地址,因为它可能是假的;
避免下载破解软件或任何其他非法内容,即便是从合法网站重定向到的;
保持操作系统和其他软件的更新可以帮助解决许多安全问题;
不要访问搜索结果中提供的可疑网站,也不要安装它们提供的任何东西。
参考链接:
https://securelist.com/gaming-related-cyberthreats-2021-2022/107346/