帕洛阿尔托网络公司(Palo Alto Networks)旗下威胁情报部门Unit 42近日发现,一种名为Blitz的隐蔽型Windows平台恶意软件正通过篡改版手游《对峙2》作弊程序实施攻击。这场最初以游戏作弊为诱饵的恶意活动,已演变为具备多阶段攻击能力的综合性威胁——不仅窃取敏感数据、劫持系统资源进行加密货币挖矿,还滥用Hugging Face Spaces等合法平台建立命令控制(C2)通道。
恶意作弊包的传播路径
Blitz恶意软件通过名为Nerest_CrackBy@sw1zzx_dev.zip和Elysium_CrackBy@sw1zzx_dev.zip的作弊包传播,专门针对下载量已突破1亿的安卓游戏《对峙2》用户。Unit 42指出:”这些ZIP压缩包内含被植入后门的Windows可执行文件(EXE)…运行游戏作弊包中的EXE文件会暗中下载Blitz加载器。”
这些携带木马的作弊程序通过Telegram频道(@sw1zzx_dev)传播,运营者sw1zzx使用西里尔字母发布的帖子和嵌入式视频进行推广。
双阶段攻击架构
Blitz采用独特的双阶段攻击模式:
1. 加载器阶段(ieapfltr.dll):通过PowerShell单行命令从Hugging Face获取第二阶段有效载荷
2. 僵尸程序阶段(Blitz bot):注入RuntimeBroker.exe进程后具备以下功能:
• 键盘记录
• 屏幕截图捕获
• 文件传输(上传/下载)
• 通过HTTP洪水攻击实施DDoS
• 使用XMRig矿工进行加密货币劫持
Unit 42强调:”Blitz僵尸程序具备键盘记录和屏幕截图等窃密功能,同时还能对Web服务器发起拒绝服务(DoS)攻击。”该恶意软件还采用先进的反沙箱技术,会检测虚拟机特征、低屏幕分辨率、CPU核心数及已知沙箱注册表项。
滥用合法云服务
值得注意的是,Blitz恶意软件滥用本用于托管机器学习应用的Hugging Face Spaces平台作为C2通道,并将XMRig矿工和僵尸程序DLL等恶意载荷存储在该平台。研究人员发现其中一个C2终端(hxxps://e445a00fffe335d6dac0ac0fe0a5accc…hf[.]space)直接关联到外部IP 176.65.137[.]44,疑似为攻击者的管理面板。
截至2025年4月,已在26个国家发现289例活跃感染,俄罗斯、乌克兰、白俄罗斯和哈萨克斯坦位列受影响最严重地区。在Unit 42于4月底披露该威胁后,恶意软件作者于2025年5月在Telegram发布告别声明,声称已创建”cleaner.exe”工具用于清除Blitz。但研究人员认为这可能是障眼法:”这份告别声明很可能是作者出于其他原因退出而编造的掩护故事。”经分析,cleaner.exe虽能清除部分组件,但因注册表键名拼写错误无法彻底清理。
安全警示
Blitz攻击事件凸显了从非官方渠道下载破解软件和游戏外挂的真实网络安全风险。报告最后警告称:”使用作弊软件不仅违反法律和道德准则,更会使系统暴露在包括Blitz在内的重大安全威胁之下。”
转自: freebuf
从游戏作弊到系统沦陷:恶意软件通过篡改外挂侵害玩家
发布日期:2025-06-13
领取优惠
提交成功!