前幾天，動視公司發布了一個報告，揭露了《使命召喚：戰爭地帶》的一款作弊軟件中含有隱藏的惡意軟件。

根據Vice報道，動視公司的研究人員發現該作弊軟件在設備上偷偷安裝了一個dropper，用于在目標系統或設備上安裝或提供額外的有效載荷，如證書竊取惡意軟件。該dropper不是目的本身，而是達成目的的一個手段，是鏈條中的一個關鍵環節。

[[391417]]

惡意軟件活動的目標之一是在受害者的電腦上安裝礦機，在受害者不知情的情況下，利用游戲玩家的顯卡來開采加密貨幣。

動視指出，"正版 "作弊器工作所需的程序也讓大多數惡意軟件工具得以執行，比如繞過系統保護和升級權限。許多作弊器建議用戶禁用他們的反病毒軟件，以確保與系統的兼容性，從而使隱藏的惡意軟件在作弊者沒有被提醒的情況下感染PC。

在地下黑客論壇上的帖子宣傳惡意軟件的傳播方法

在2020年3月，一名黑客在多個黑客論壇上發布廣告，宣傳一種免費的、"新手友好 "的、"有效 "的方法，用于傳播遠程訪問木馬(RAT)的惡意軟件。

雖然很可能有上百種涵蓋RAT傳播方法的指南，但這本指南依靠的不是復雜的策略，而是依靠受害者自愿禁用自己系統上的幾種安全設置。

該黑客建議的說服受害者禁用他們的保護措施的方法，是通過宣傳他們的RAT作為視頻游戲作弊器。

在配置作弊程序時，通常的做法是用最高系統權限來運行它。作弊指南通常會要求用戶禁用或卸載殺毒軟件和主機防火墻，禁用內核代碼簽名等。

該黑客還附上了設置騙局所需的文件。自該方法發布以來，該帖子已經獲得了1萬多個瀏覽量和260個回復。

偽造的使命召喚外掛廣告

下圖所示的是在2020年4月發布在一個流行的作弊網站上的假作弊軟件，被宣傳為 "新的cod hack"。

雖然許多非法網站在對其列表進行監管方面做得相當不錯，只有 "真正的 "作弊工具才會在廣告中出現。但這則看起來并不是特別精巧，也沒有花多少心思的廣告，卻還是吸引了用戶。有人回復詢問是否有人嘗試過，這個廣告一天后才被刪除。

然而，這并沒有阻擋這些黑客的腳步，因為最近2021年3月1日，同樣的騙局又在論壇上發布了。

一個YouTube視頻也宣傳該作弊器是COD Warzone 2020 "未被檢測到 "的作弊軟件。該YouTube視頻給出了比最初論壇帖子更詳細的設置說明和功能描述。

該描述包括以管理員身份運行程序和禁用殺毒軟件的說明。

技術分析

Dropper本身是一個.NET應用程序，可以下載并執行任意可執行文件。除非已經禁用，否則UAC(用戶賬戶控制)將提示用戶同意允許下載的可執行文件以管理權限運行。

可以看到，應用程序正在從遠程主機上下載一個文件，并將其保存到當前目錄下的'CheatEngine.exe'。

一旦有效載荷被保存到磁盤上，應用程序將會創建一個名為'CheatEngine.vbs'的VBScript。然后啟動'CheatEngine.exe'進程并刪除'CheatEngine.exe'可執行文件。

惡意軟件的作者可以使用'COD-Dropper v0.1'應用程序來創建一個假的COD作弊器。

創建者/生成器是一個.NET可執行文件，它包含dropper .NET可執行文件作為資源對象。有了惡意有效載荷的URL，一旦用戶點擊':: Build :::'，應用程序就會用'dnlib'.NET匯編庫檢查'COD_bin'對象。它用提供的URL替換名為'[[URL]]'的URL占位符，并將'COD_bin'資源保存在一個新的文件名下。

小結

雖然這種方法相當簡單，但歸根結底是一種社會工程技術，它利用目標(想要作弊的玩家)的意愿，自愿降低安全保護，并忽略運行潛在惡意軟件的警告?！妒姑賳荆簯馉幍貛А吩?020年8月時擁有7500萬玩家。雖然現在這個數字低了很多，但作弊仍然是個大問題。動視自推出以來已經在全球范圍內封禁了30萬人，其中6萬人在一天內被封。

完整報告下載：點擊下載