春节“宅经济”触发游戏潮，360安全大脑强势预警共度安心年！

当“云上拜年”成为风尚，网络黑产也开始了新一轮的敛财行动。近日，360安全大脑监测发现，各类围绕棋牌游戏的远控木马再度活跃。不法分子通过即时通信软件或钓鱼网址等渠道，传播被恶意捆绑了远控木马的虚假游戏安装包，借机敛财。

360安全大脑数据显示，本次传播的远控木马已在国内多个省份进行传播，其中北京、河北两地中招设备较多，同时福建、广西、上海、广东、河南、江西等地也均有用户中招。面对汹涌来袭的远控木马威胁，360安全大脑提醒广大用户提高警惕。广大企业级用户可使用360终端安全管理体系，抵御此类威胁，度过一个安全祥和的春节。

春节“宅经济”催生游戏热

远控木马闻风趁势作乱

事实上，每逢春节假期，二次打包捆绑远控木马等投“毒”活动都会异常活跃。经360安全大脑分析，主要有以下几点原因：

01

用户基数大。疫情防控之下，春节催化“游戏热”，而以棋牌类应用为代表的游戏，既符合春节“云团圆”的属性，又是具有大众基础的游戏品类。因此，也就成为了不法分子捆绑远控木马等病毒的首选。

02

操作成本小。随着网络技术的普及，捆绑、投放木马等攻击技术，操作门槛变得越来越低，复制性却变得越来越高，导致此类攻击越发频繁。

基于上述原因，给个人乃至企业级用户的网络安全，提出了更高的要求。

经360安全大脑分析发现，由于部分游戏应用安装程序带有有效的数字签名，不法分子此次投放的远控木马躲避部分安全软件的检查。

在具体威胁上，远控木马释放完成后，攻击者可监控中招用户的游戏过程，实现游戏看牌、干扰游戏运行等作弊行为。不仅能影响游戏的胜负，还存在直接篡改用户操作或控制用户计算机转移游戏金币，进而牟利的行径。

在操控游戏转移游戏金币之外，攻击者还会通过木马收集用户账号等相关信息，具体如群消息、好友信息等数据。攻击者还会利用上述信息和网络接口，假冒受害人的名义，向好友发送有害信息，进一步扩散远控木马。

盗号监控敛财三手抓

远控木马“附身”棋牌游戏流窜

360安全大脑数据显示，“金游世界PC版”、“集结号游戏”、“博乐游戏”等棋牌类游戏，皆已沦为不法黑客植入远控木马，二次打包投毒的“工具”。

以“金游世界PC版”安装包为例，360安全大脑破解其作恶过程后发现，该远控木马启动后，会先展示一个游戏安装界面以掩人耳目。

实际在游戏安装界面的掩护下，木马安装包首先会偷偷创建一个C:\PerfLo文件夹，并设置该文件夹属性为系统、只读、隐藏。随后，会在%userprofile%\appdata文件下释放libEGL.exe和Cert.cer两个文件。最后，则会使用libEGL.exe将证书文件Cert.cer添加至系统信任证书列表以躲避查杀。

在完成上述操作后，远控木马会删除这些文件，并在C:\PerfLo下再次释放active.exe和QBCORE.dll 两个木马文件，并将主程序active.exe添加到启动项后执行。

active.exe启动后会创建傀儡进程Wextract.exe，然后注入恶意代码。

而被注入的代码，就是远控木马的功能主体。该代码具有盗号、关闭设备、获取键盘记录、录音、截屏、清理系统日志、添加自启动项、下载程序并运行、关闭UAC等大量控制功能。

此外，木马还会操作检查操作系统信息，以及系统中安装的安全软件等各种用户信息，上报信息给攻击者。

需要注意的是，攻击者还会清空浏览器访问记录，防止用户发现自己访问过钓鱼网站。

假期冲浪警惕“带毒”游戏

360安全大脑出击守卫新春安全

在网络安全环境越发复杂，木马等常规威胁亦趋向多变的背景下，政企多端用户面临的网络威胁远超以往，亟需建设新一代的网络安全能力体系。作为新时代的网络安全运营商，360政企安全集团以360安全大脑为核心，打造新一代的网络安全能力体系。

现阶段，面向政企用户推出360终端安全产品体系，通过360终端安全管理系统、360安全卫士团队版等产品，输出体系化全维度的安全防护。最后，面对此类远控威胁，360安全大脑给出如下安全建议：

1、广大政企用户，可通过安装360终端安全管理系统，有效拦截木马病毒威胁，保护文件及数据安全，详情可通过400-6693-600咨询了解；而小微企业，则可直接前往safe.online.360.cn，免费体验360安全卫士团队版，抵御远控木马等攻击；

2、不轻易打开即时通讯软件中传播的未知安全性文件；

3、对于安全软件报毒的程序，不要轻易添加信任或退出安全软件；

4、从官网或正规渠道下载安装游戏，警惕搜索引擎广告中推荐的游戏“官网”。

来源 360政企安全