圖片來源: 

卡巴斯基

由於COVID-19疫情延燒,導致許多人必須居家隔離,使得電玩遊戲的需求大增,駭客也盯上這個產業發動攻擊。而其中一款受到許多玩家矚目的年度電玩遊戲大作「電馭叛客2077(Cyberpunk 2077)」,在歷經一波三折之後,終於在12月10日正式上市。但在5天之後,有資安研究員發現,駭客竟以提供Windows和Android測試版遊戲的名義,佯稱提供玩家免費下載電馭叛客2077,但他們提供的安裝檔案,實際上是勒索軟體CoderWare。究竟有多少人受害?目前仍不得而知,但卡巴斯基取得這款勒索軟體進行分析,並加以追蹤駭客提供受害者支付贖金的比特幣錢包後指出,駭客至少得手價值8千美元的比特幣

事實上,針對手機發動勒索軟體攻擊的情況並不多,而且這次駭客同時鎖定Windows電腦下手更是少見,而這種將手機為主要目標的勒索軟體攻擊,很可能會越來越多。

為何電馭叛客2077會被駭客選來當做誘餌?原因是玩家已經期待已久,這款遊戲自去年E3電玩展宣布計畫要在今年4月上市後,便引起關注,然而遊戲開發商卻屢屢延後上市的時間,直到這個月才正式推出,也因此許多玩家早已迫不及待想要遊玩這款遊戲。什麼是電馭叛客2077?這是一款角色扮演遊戲,玩家在這個遊戲的世界中,扮演一名叫做V的傭兵,來進行各式的任務。這款由波蘭遊戲業者CD Projekt開發的遊戲,支援多種平臺,不僅有Windows版本,也提供PlayStation 4與Xbox One等電玩主機適用的版本,亦於Google Stadia串流遊戲平臺上架。究竟「電馭叛客2077」有多熱門?這款遊戲推出至今約2週,已經賣出超過1,300萬套。

然而,在這款遊戲推出不久,12月15日,有一名ID為Sh33tos的研究人員在推特上貼文指出,有個網址為cyberpunk2077mobile[.]com的網站,提供疑似是遊戲安裝檔案的CyberPunk2077Mobile.apk,他也將這個Android安裝檔案上傳到VirusTotal比對,但沒有提及分析的結果。由此我們推斷,當時許多防毒軟體無法察覺異狀,而從VirusTotal比對的結果來看,65個防毒軟體目前只有29個判別為病毒,換言之,不到一半的防毒軟體察覺這個APK檔案有害。

有研究人員發現,佯稱是Android版電馭叛客2077(Cyberpunk 2077)安裝檔案Cyberpunk2077mobile.apk,並上傳到VirusTotal分析,目前為止,65個防毒引擎有29個能識別有害,僅有接近半數的防毒軟體會發出警示或予以攔截。

這個宣稱提供測試版本的電馭叛客2077冒牌網站,為何會引起許多資安人員關注?因為,這款遊戲官方根本沒有推出Android版本,唯一能夠在Android手機上執行的方法,是透過Google Stadia串流平臺遊玩,基於部分玩家可能不甚清楚系統需求的情況下,提供APK檔案很可能會讓他們受騙上當。在此情勢之下,許多資安研究人員著手進行調查。

其中,受到許多國外媒體引用、揭露資訊較為詳細的是卡巴斯基安卓惡意軟體分析師Tatyana Shishkova的分析結果。她先是於17日張貼推文指出,駭客架設的冒牌網站偽裝成Google Play市集,她分析CyberPunk2077Mobile.apk後發現,這是隸屬CoderWare(亦稱BlackKingdom)家族的勒索軟體,一旦使用者同意這個冒牌遊戲軟體存取手機裡的檔案,受害者的手機資料就會被加密並加上副檔名coderCrypt。

Tatyana Shishkova在推特公布相關發現後,她隨後於23日在卡巴斯基部落格公開更多細節。首先,針對上述的Android版冒牌遊戲,她指出下載網頁宣稱檔案大小為3.4GB,但實際上取得的檔案僅3MB,落差相當大。

一旦使用者安裝了該APK檔案後,這款詳稱是手機測試版的電馭叛客2077,便會要求受害者允許應用程式存取裝置的檔案。由於大部分的遊戲都會因為儲存進度等因素,向使用者取得這項權限,一般人往往不疑有他,很自然的按下同意按鈕。

但在受害者允許冒牌遊戲存取電腦檔案後,隨即就會看到勒索訊息,內容大致上是指出手機的檔案已被CoderWare勒索軟體加密,受害者想要復原檔案,必須在指定時間內支付價值500美元的比特幣贖回,這些駭客甚至要脅,如果不願意在時限內付款,他們就會把手機裡的資料清除。不過,Tatyana Shishkova提到,勒索訊息似乎是拼湊出來的,因為,裡面提到支付贖金的期限,在不同的字句裡就有10小時和24小時兩種說法。

另外,稍微值得慶幸的是,對於已經遭到加密的Android裝置,Tatyana Shishkova說檔案應該可以救得回來。原因是他們發現,駭客採用RC4對稱加密演算法,並且把加密金鑰寫死在App裡面,這意味著該加密金鑰也可以用來解密檔案。而且,經過測試與反組譯程式碼後,她發現該勒索軟體並不會在超過宣稱的10小時或24小時,清除受害手機的檔案。而對於手機檔案已經被加密的受害者,她認為可以把這些遭到加密的檔案先備份出來,再試圖解密。

除了上述冒牌的Android版電馭判客2077之外,Tatyana Shishkova表示他們還看到了鎖定Windows裝置的勒索軟體,但與前述的Android版本不同的是,金鑰並未寫死在勒索軟體,而是在加密的時候動態產生,這些受害電腦的檔案恐怕難以救回。

從卡巴斯基揭露的Windows版CoderWare勒索軟體執行檔案加密後,所出現的勒索訊息的螢幕截圖來看,文句排列較Android版整齊,同時也於螢幕下方提醒受害者剩餘付款時間。

熱門新聞


Advertisement