Istraživači sajber sigurnosti otkrili su sofisticiranu kampanju koja cilja na Albion Online zajednicu igara kroz lažno predstavljanje Electronic Frontier Foundation (EFF).
Operacija, otkrivena početkom marta 2025., koristi dokumente za mamce koji su dizajnirani da se pojavljuju kao službene komunikacije EFF-a dok se u pozadini postavlja maliciozni softver.
Albion Online, online igra uloga za više igrača s ekonomijom vođenom igračima, postala je unosna meta zbog tržišta trećih strana na kojima se imovina u igrici mijenja za pravi novac.
Istraživači na Hunt.io identifikovali su poruke na forumu igre koje upućuju igrače na phishing web stranice pod izgovorom da razgovaraju o sigurnosti imovine u igri koja je vezana za njihove račune.
Napadači su koristili otkriveni otvoreni direktorij koji sadrži mješavinu PDF-ova, ZIP arhiva i PowerShell skripti, otkrivajući njihovu operativnu infrastrukturu.
Ključna komponenta napada je datoteka Windows prečice (LNK) pod nazivom “Report-Albion-Online.lnk” koja izvršava PowerShell sa zaobilaženjem politike izvršavanja za pokretanje malicioznih skripti.
Lanac napada počinje kada korisnici prime phishing poruke s vezama do onoga što se čini kao službeni izvještaj EFF-a pod nazivom „Elektronski izvještaj o istrazi krađe virtualne imovine u Albionu Online“.
.webp)
Ovaj PDF je programski generisan i dizajniran da stvori hitnost informiranjem žrtava o neovlaštenim pokušajima prijave.
Analiza malicioznog softvera
Nakon izvršenja, PowerShell skripta preuzima maliciozne komponente i ispušta ih u sistem žrtve.
Skripta sadrži komentare na ruskom jeziku, što sugeriše učešće programera koji govore ruski .
Osim toga, jedna od kritičnih komponenti malicioznog softvera, albion.exe, je preimenovana legitimna Python 3.10.8 izvršna datoteka koja se koristi za izvršavanje prateće skripte pod nazivom 12.py.
Ova Python skripta sadrži dva kodirana dijela koji, kada se dekodiraju, otkrivaju veze sa komandnim i kontrolnim serverima na 104.245.240.19:443 i 212.87.222.84:443, identifikovane kao Stealc stealer i Pyramid C2 infrastruktura.
Komunikacija sa ovim serverima se odvija putem HTTP zahtjeva kao što su:-
http[:]//104.245.240.19:443/login/3keXipGb5Rr+gpGO9Cj sSfdz+of5Maliciozni softver tada pokreće višestruke POST zahtjeve za izdvajanje pohranjenih kredencijala iz pretraživača prije nego što ih pošalje nazad na C2 server.
.webp)
Ova kampanja pokazuje kako hakeri kombinuju reputaciju legitimnih organizacija sa tehničkom sofisticiranošću kako bi ciljali određene zajednice.
Korisnicima se savjetuje da provjere autentičnost komunikacije i budu oprezni s neželjenim porukama, posebno onima koje zahtijevaju hitnu akciju.
Izvor: CyberSecurityNews
