Steam下架了一款盗窃用户加密货币的游戏

一款名为「BlockBlasters」的游戏窃取了共计15万美元的加密货币，共计数百名用户中招

这款由 Genesis Interactive 开发的游戏获得了超过 200 条“非常好评”的评价。

BlockBlasters 首次在 Steam 上出现是在 7 月 30 日，但该游戏在 8 月 30 日偷偷加入了一个加密勒索程序。

这款恶意游戏一直低调行事，直到患有四期癌症的拉脱维亚主播 Raivo Plavnieks（Rastaland.TV）表示：自己在周末下载 BlockBlasters 时损失了 3.2 万美元。

在 X 上的一篇帖子中，恶意软件追踪机构 vx-underground 透露，某些不法分子发起了鱼叉式钓鱼攻击，试图诱使主播宣传一款游戏以获得报酬。“然而，这个 Steam 游戏实际上是一款伪装成合法视频游戏的加密矿工软件，”vx-underground 在 X 上的帖子中写道。

Steam 已于 9 月 21 日下架了包括 PirateFi、Sniper: Phantom 的 Resolution 及 Chemia 在内的一些感染了 Windows 计算机的恶意软件的游戏。

Valve尚未回应置评请求。

🗒 标签: #Steam #恶意软件 #钓鱼软件
📢 频道: @GodlyNews1
🤖 投稿: @GodlyNewsBot

百度等搜索引擎上的虚假广告引导用户下载虚假的notepad++和VNote，从而部署Geacon木马

在百度等搜索引擎上寻找正版软件(如notepad++和VNote)的中国用户正成为恶意广告和虚假链接的目标，这些恶意广告和虚假链接分发了这些软件的木马版本，并最终部署了Geacon，这是一款基于golang的Cobalt Strike软件。

“在notepad++搜索中发现的恶意网站是通过广告块传播的，”卡巴斯基研究员谢尔盖·普赞说。

打开它，细心的用户会立即注意到一个有趣的不一致:网站地址包含一行vnote，标题提供了Notepad‐‐的下载(类似于notepad++，也作为开源软件分发)，而图像自豪地显示notepad++。事实上，从这里下载的软件包包含Notepad‐‐。”

该网站名为vnote.fuwenkeji[.]cn，包含Windows, Linux和macOS版本软件的下载链接，Windows版本的链接指向包含Notepad—installer(“Notepad—v2.10.0-plugin-Installer.exe”)的官方Gitee存储库。

另一方面，Linux和macOS版本会导致恶意安装包驻留在vnote- 1321786806.coss.ap-hongkong.myqcloud [.]com上。

以类似的方式，仿冒的VNote网站。("VNote[.] info"和"vnotepad[.]com")会导致相同的myqcloud[.]com链接，在这种情况下，也指向托管在域上的Windows安装程序。也就是说，指向VNote潜在恶意版本的链接已不再活跃。

对修改后的Notepad安装程序的分析表明，它们旨在从远程服务器检索下一阶段的有效载荷，这是一个与Geacon相似的后门程序。

它能够创建SSH连接、执行文件操作、枚举进程、访问剪贴板内容、执行文件、上传和下载文件、截取屏幕截图，甚至进入睡眠模式。命令与控制(C2)是通过HTTPS协议实现的。

随着恶意广告活动也成为其他恶意软件的渠道，如FakeBat(又名EugenLoader)恶意软件借助MSIX安装文件伪装成微软OneNote, Notion和Trello。

🗒 标签: #Geacon木马 #恶意网站 #VNote #Notepad
📢 频道: @GodlyNews1
🤖 投稿: @GodlyNewsBot