游戏辅助的隐藏威胁｜传播于游戏论坛的“Catlavan”后门分析报告

主要观点总结

文章描述了腾讯云安全威胁情报中心发现的一起针对网络游戏用户的恶意攻击事件。攻击者利用游戏外挂传播恶意木马，特别是针对俄语环境游戏用户。通过BinaryAI的恶意文件检测引擎，发现了攻击者使用的后门文件“Catlavan”，该后门文件具有窃取用户信息并通过Telegram发送日志的能力。文章详细分析了攻击阶段和行为特征，包括识别自身权限、下载第二阶段server到本地Temp目录、创建runtime_broker.exe进程等，并提供了相关IOC（情报指标）。同时，文章还进行了溯源分析，发现攻击开始时间为2024年12月，并给出了防范此类攻击的建议。

关键观点总结

关键观点1: 攻击者利用游戏外挂传播恶意木马

攻击者创建了一个Minecraft游戏的辅助工具，实际上是一个后门文件，并在俄语游戏圈的BBS论坛等网站分享传播。

关键观点2: 后门文件功能

后门文件具备窃取用户信息、通过Telegram发送日志、伪造错误消息框欺骗用户点击等功能。

关键观点3: 攻击阶段和行为特征

攻击分为多个阶段，包括判断自身权限、下载第二阶段server、创建进程、窃取用户信息、上传文件到SFTP等。

关键观点4: 溯源分析与防范建议

攻击开始时间为2024年12月，溯源发现攻击者在多个论坛分享传播。建议用户提高警惕，谨慎使用游戏外挂，下载安全软件开启主动防御模块并定时查杀。