【安全圈】伪装“黑神话悟空修改器”传播木马的活动分析

近日，安天CERT通过网络安全监测发现利用“黑神话悟空修改器”传播恶意代码的活动，攻击者将自身的恶意代码程序与《黑神话：悟空》第三方 修改器 “风灵月影”捆绑在一起，再通过在社媒发布视频等方式引流，诱导玩家下载。玩家一旦下载了带有恶意代码的修改器版本，在运行修改器的同时，也将在后台自动运行恶意代码，导致计算机被控制，产生隐私泄露、经济损失等风险。

《黑神话：悟空》作为国产首款3A游戏大作，千万玩家在线狂欢，尽享盛宴。但玩家尽情在痛殴游戏中的BOSS（或被BOSS痛殴）的时候，也要小心网络中的妖魔鬼怪、恶意代码。祝玩家在游戏中都成为齐天大圣，在上网时也擦亮火眼金睛，穿上金甲战衣。

经验证，安天智甲终端防御系统（简称IEP）可实现对捆绑的恶意代码有效查杀。

图 2‑2通过发帖引流钓鱼网址

2.警惕利用闲鱼、淘宝等购物平台传播捆绑木马

《黑神话：悟空》的大量“修改器”上架闲鱼、淘宝平台，售价在1~10元左右，攻击者可能会将携带恶意代码的《黑神话：悟空》修改器挂到购物网站上引流，请游戏玩家谨慎购买。

图 2‑3 闲鱼、淘宝平台售卖大量修改器

3.1 样本标签

3.2 样本分析

样本是一个Advanced Installer安装包，执行时会在桌面释放“Black Myth Wukong v1.0 Plus 35 Trainer.exe”并执行，该文件为正常修改器程序。另外还会启动msi文件的安装。该安装包可使用/extract参数解包。

图 3‑1样本安装包

msi文件设置了执行条件，不支持虚拟机中运行。

图 3‑2检测虚拟机环境

其捆绑的恶意程序WindowsSandBoxC.exe存放在streams流中，会在运行正常修改器后执行。

图 3‑3安装包内嵌的恶意程序

样本伪装图标和数字签名为Windows Sandbox组件，但与实际系统组件无关。

图 3‑4伪装的图标和数字签名

https[:]//xyz-1324330606.cos.accelerate.myqcloud[.]com/xyz。相关地址为腾讯云对象存储服务。

图 3‑5利用ZeroMQ进行通信

相关下载代码如下所示。

图 3‑6下载载荷

目前该载荷下载地址已失效，但通过情报关联，可以发现其后续载荷还通过相同对象云存储账号下的多个位置下载了载荷。

图 3‑7关联后续载荷

通过对其载荷下载地址中的腾讯云COS存储桶ID进行关联搜索，可发现近期在该腾讯云存储账号中还出现过多次恶意载荷，包括与目前活跃的“游蛇”（又称银狐）组织相关的攻击样本。

此外还发现多个其他软件被捆绑的样本，他们的行为中包含下载多个云存储文件，以及类似%ProgramFiles%\Adobe\.exe的文件释放，与本次样本类似。

图 3‑8更多被捆绑的样本

安天智甲终端防御系统（简称IEP）可实现对捆绑的恶意代码有效查杀。

建议企业用户部署专业的终端安全防护产品，对本地新增和启动文件进行实时检测，并周期性进行网内病毒扫描。安天智甲终端安全系列产品（以下简称“智甲”）依托安天自研威胁检测引擎和内核级主动防御能力，可以有效查杀本次发现病毒样本。

智甲可对本地磁盘进行实时监测，对新增文件自动化进行病毒检测，对发现病毒可在其落地时第一时间发送告警并进行处置，避免恶意代码启动。

图 3-9发现病毒时，智甲第一时间捕获并发送告警

智甲还为用户提供统一管理平台，管理员可通过平台集中查看网内威胁事件详情，并批量进行处置，提高终端安全运维效率。

图 3-10通过智甲管理中心查看并完成威胁事件处置

来源： 安天CERT