由于COVID-19疫情燃烧,导致许多人必须居家隔离,使得电玩游戏的需求大增,黑客也盯上这个产业发动攻击。而其中一款受到许多玩家瞩目的年度电玩游戏大作“电驭叛客2077(Cyberpunk 2077)”,在历经一波三折之后,终于在12月10日正式上市。但在5天之后,有安全研究员发现,黑客竟以提供Windows和Android测试版游戏的名义,佯称提供玩家免费下载电驭叛客2077,但他们提供的安装文件,实际上是勒索软件CoderWare。究竟有多少人受害?目前仍不得而知,但卡巴斯基取得这款勒索软件进行分析,并加以关注黑客提供受害者支付赎金的比特币钱包后指出,黑客至少得手价值8千美元的比特币。
事实上,针对手机发动勒索软件攻击的情况并不多,而且这次黑客同时锁定Windows计算机下手更是少见,而这种将手机为主要目标的勒索软件攻击,很可能会越来越多。
为何电驭叛客2077会被黑客选来当做诱饵?原因是玩家已经期待已久,这款游戏自去年E3电玩展宣布计划要在今年4月上市后,便引起关注,然而游戏开发商却屡屡延后上市的时间,直到这个月才正式推出,也因此许多玩家早已迫不及待想要游玩这款游戏。什么是电驭叛客2077?这是一款角色扮演游戏,玩家在这个游戏的世界中,扮演一名叫做V的佣兵,来进行各式的任务。这款由波兰游戏企业CD Projekt开发的游戏,支持多种平台,不仅有Windows版本,也提供PlayStation 4与Xbox One等电玩主机适用的版本,也于Google Stadia流媒体游戏平台上架。究竟“电驭叛客2077”有多热门?这款游戏推出至今约2周,已经卖出超过1,300万套。
然而,在这款游戏推出不久,12月15日,有一名ID为Sh33tos的研究人员在推特上贴文指出,有个网址为cyberpunk2077mobile“.”com的网站,提供疑似是游戏安装文件的CyberPunk2077Mobile.apk,他也将这个Android安装文件上传到VirusTotal比对,但没有提及分析的结果。由此我们推断,当时许多杀毒软件无法发现异状,而从VirusTotal比对的结果来看,65个杀毒软件目前只有29个判别为病毒,换言之,不到一半的杀毒软件发现这个APK文件有害。
cyberpunk2077mobile\.com downloads – CyberPunk2077Mobile.apk
SHA-25685763589171b520806c08fd836010a4ca264ffa3dbf428cc4797fefa9136a189https://t.co/dLNG9miPy1
—Sh33tos (@huntingneo)December 14, 2020
有研究人员发现,佯称是Android版电驭叛客2077(Cyberpunk 2077)安装文件Cyberpunk2077mobile.apk,并上传到VirusTotal分析,目前为止,65个杀毒引擎有29个能识别有害,仅有接近半数的杀毒软件会发出警示或进行拦截。
这个宣称提供测试版本的电驭叛客2077冒牌网站,为何会引起许多安全人员关注?因为,这款游戏官方根本没有推出Android版本,唯一能够在Android手机上执行的方法,是通过Google Stadia流媒体平台游玩,基于部分玩家可能不甚清楚系统需求的情况下,提供APK文件很可能会让他们受骗上当。在此情势之下,许多安全研究人员着手进行调查。
其中,受到许多海外媒体引用、披露信息较为详细的是卡巴斯基安卓恶意软件分析师Tatyana Shishkova的分析结果。她先是于17日发布推文指出,黑客架设的冒牌网站伪装成Google Play市场,她分析CyberPunk2077Mobile.apk后发现,这是隶属CoderWare(也称BlackKingdom)家族的勒索软件,一旦用户同意这个冒牌游戏软件访问手机里的文件,受害者的手机资料就会被加密并加上文件扩展名coderCrypt。
New Android#Ransomwaredisguised as#Cyberpunk2077game.
Downloaded from fake website imitating Google Play Store.
Extension: .coderCrypt
Family: CoderWare/BlackKingdomhttps://t.co/JBudDP6vG1pic .twitter.com/TdM4SAkFWl
—Tatyana Shishkova (@sh1shk0va)December 16, 2020
Tatyana Shishkova在推特公布相关发现后,她随后于23日在卡巴斯基博客公开更多细节。首先,针对上述的Android版冒牌游戏,她指出下载网页宣称文件大小为3.4GB,但实际上取得的文件仅3MB,落差相当大。
一旦用户安装了该APK文件后,这款详称是手机测试版的电驭叛客2077,便会要求受害者允许应用程序访问设备的文件。由于大部分的游戏都会因为存储进度等因素,向用户取得这项权限,一般人往往不疑有他,很自然的按下同意按钮。
但在受害者允许冒牌游戏访问计算机文件后,随即就会看到勒索消息,内容大致上是指出手机的文件已被CoderWare勒索软件加密,受害者想要恢复文件,必须在指定时间内支付价值500美元的比特币赎回,这些黑客甚至要胁,如果不愿意在时限内付款,他们就会手柄机里的资料清除。不过,Tatyana Shishkova提到,勒索消息似乎是拼凑出来的,因为,里面提到支付赎金的期限,在不同的字句里就有10小时和24小时两种说法。
另外,稍微值得庆幸的是,对于已经遭到加密的Android设备,Tatyana Shishkova说文件应该可以救得回来。原因是他们发现,黑客采用RC4对称加密算法,并且把加密密钥写死在App里面,这意味着该加密密钥也可以用来解密文件。而且,经过测试与反汇编程序代码后,她发现该勒索软件并不会在超过宣称的10小时或24小时,清除受害手机的文件。而对于手机文件已经被加密的受害者,她认为可以把这些遭到加密的文件先备份出来,再试图解密。
除了上述冒牌的Android版电驭判客2077之外,Tatyana Shishkova表示他们还看到了锁定Windows设备的勒索软件,但与前述的Android版本不同的是,密钥并未写死在勒索软件,而是在加密的时候动态产生,这些受害计算机的文件恐怕难以救回。
从卡巴斯基披露的Windows版CoderWare勒索软件执行文件加密后,所出现的勒索消息的屏幕截屏来看,文句排列较Android版整齐,同时也于屏幕下方提醒受害者剩余付款时间。