盗版游戏向来暗藏风险,但 Trellix 的最新研究揭示了这一风险如今已变得多么严重。分析发现,一个针对热门盗版资源站 Dodi Repacks 的复杂恶意软件投放行动,正在利用该平台传播一种名为 HijackLoader 的模块化载荷,用它进一步投放各种其他恶意软件。
在盗版论坛上流行一种说法:“只要装了广告拦截器,就不会中毒。” Trellix 研究人员直接驳斥了这一观点,如报告所说:
“请注意,以上所有行为都发生在安装了 uBlock Origin 广告拦截器的前提下,所以论坛上那种‘只要装了广告拦截器下盗版软件就安全’的说法是完全错误的。”
即便开启广告拦截功能,用户仍然会被重定向多次,最终被引导到一个 MEGA 网盘中的压缩包。该压缩包号称包含破解补丁,但实际上内部藏有恶意程序。
这个压缩包中包含一个超过 500 MB 的膨胀 DLL 文件,名为 DivXDownloadManager.dll。Trellix 指出,这是为了绕过沙箱和杀毒引擎的体积限制机制。研究人员使用 Debloat 等工具剥离填充数据后,成功发现了其中真正的恶意载荷。
HijackLoader 的多阶段加载流程包括:
· 第一阶段 – 被劫持的 DLL 从名为 quintillionth.ppt 等看似无害的文件中解密配置数据;
· 第二阶段 – 装载器设置,包括 模块覆盖(module stomping) 和 API 伪装 等高级躲避手段;
· 第三阶段 – “ti 模块” 会禁用系统监控钩子,执行虚拟机检测,为隐蔽持久化做准备;
· 第四阶段 – 最终注入阶段,会投放真正的恶意载荷,目前最常见的是信息窃取木马 LummaC2。
正如 Trellix 所强调的:“HijackLoader 是一个模块化加载器,目前已支持多达 40 个模块。” 这使其足以适应各种攻击场景。
虽然本次调查起源于 Dodi Repacks 的游戏下载,但 Trellix 特别指出,这绝不是个案:
“HijackLoader 的传播范围极广。只要随便搜索任何破解软件,很大概率第一页谷歌结果就包含投放该恶意软件的链接。”
更令人震惊的是,攻击者甚至滥用音乐平台 TIDAL,创建名为 “FL Studio Producer Edition Crack” 的播放列表,在描述栏贴出携带恶意软件的外部下载链接。
HijackLoader 本身不是最终目的,而是一个“投递工具”。Trellix 观察到它被用于传播多个恶意软件家族,如 Redline Stealer、Danabot、Remcos、xWorm、Amadey,以及 XMRig 挖矿程序。近来最常见的载荷是 LummaC2,用于大规模窃取凭据与数据。
即使某个传播站点被封或被标记,攻击者也能迅速更换域名继续投放。Trellix 指出:“典型的猫鼠游戏,域名一被封就换下一个。” 模块如 ti、rshell 和 X64L 仍在不断更新中,使 HijackLoader 持续保持高隐蔽和高危害性。
这场行动再次说明:盗版渠道已成为高级恶意软件的主流传播方式之一,攻击者正精准利用游戏玩家的好奇心和省钱心理。
Trellix 的结论十分直接:盗版软件传播恶意软件已经不是边缘现象,而是主流行为,甚至混入了正常的搜索结果和常用平台。最有效的防御方式只有一个:不要下盗版,使用官方正版途径。
发表评论
您还未登录,请先登录。
登录