针对LOL玩家的最新钓鱼活动剖析-大量国内玩家受控
字数 2438 2025-08-24 10:10:13

针对LOL玩家的钓鱼攻击与恶意软件分析教学文档

一、攻击概述

攻击团伙利用YouTube平台针对《英雄联盟》(LOL)玩家发起钓鱼攻击,通过发布"游戏辅助脚本"视频诱导玩家下载恶意软件。攻击特点:

  1. 攻击时间线

    • 2023年8月19日注册YouTube账号
    • 2023年10月6日发布第一个视频《RoyalBlock.to: The Ultimate Block Battle Royale Experience!》
    • 2024年7月24日发布第二个视频《LOL Script 2024 - Updated 07/08/2024 FREE TRIAL》

  2. 攻击手法

    • 伪造大量评论营造受欢迎假象
    • 提供精心构造的脚本下载网站(namzsmurf.net)
    • 网站内容后期变更(如royalblock.to从方块游戏变为LOL辅助网站)

  3. 影响范围

    • 全球数百名LOL玩家受控
    • 大量中国玩家受影响

二、恶意软件分析

1. NamzScript.exe (自解压文件)

  • 文件类型:SFX自解压文件
  • 行为分析
    • 解压至%appdata%目录
    • 执行start.vbs脚本
  • 哈希值:be87988d10070a2a95aa02f5cdab0aab

2. start.vbs

  • 功能
    • 使用密码"1337guy

\[$"解压Client-built2.sfx.exe - **哈希值**:9c9c5ace80e216ae113c55a317414edd ### 3. Client-built.exe (Quasar RAT远控木马) - **版本**:1.4.1 - **来源**:直接从GitHub(https://github.com/quasar/Quasar)下载 - **配置信息解密**: ```python # 解密算法与开源Quasar RAT相同 # 自动化解密脚本可参考先知社区文章《QuasarRAT与AsyncRAT同源对比及分析》 ``` - **解密后配置**: ``` Version: "1.4.1" Hosts: "namz.read-books.org:1337;" Install Subdirectory: "SubDir" Install Name: "WindowsUpdate.exe" Mutex: "06f1c124-2f86-4205-a4b8-825abb0ee5d0" Startup Name: "DqdCQdqc" Client Tag: "TrumpUS" Log Dirctory Name: "Logs" Serversignature: "WSX/zrjZPMvloBCYoCZwXk5oUXlv1h1OILhSvV6iFexcuLJELOHJ+Sgm48BVlwoWT/FCXvsrDmMFnrGJp7gcSLIphO1Syoe7L1hu9ZjPyKgDAD4jlZU8QLnev29dBqFhhyG4RAieAl0WymMO72yC0VDCOVjt10AXt83tfRYQCDhYVwiu8GIi/Dr/ZA4549GgIQYHA4ma38q21Dj5/rf5KDdvf8sWZ2gApHA7MKS4GekYMp1sGPO4iJHx7PCKbx3aB9vU2zYrPdQoGHk+flSUm+quSEjehuBD3fPGWn3TasShmi7xf1CVB2e3M0bqArwTkVvdewftdJTRP81BqUUn+qudQTNh0+2HnjUgXrXkHrNAaZHFOw9CgoDkB3uao8c/p72giDKQn1lU31uiws3qrN5Sq0Xx2eb/B3GQOJwz+NbM7NqBZK230Rp3CjItFqnb+jOdWUuiZ7ejb43bGo6UzOFwwvFkQGgfCr3H4r8+IH/4OQ4EPiH1bg+bggj9DM3nAxPBIxzELOr+S+g43EovvOGw2GHeckA5El5Cljhg1yfrshYZSHYpieo8+5KYXlint7oe0HP1TG30H03IxDOufvEh0jPeW/rLEZhtxYmIn9LtuwahiZ/+3jjbAjoWFN17Abdzdp6e21gEfJI0cqwW6sSxzL6a8mfWqxSSZXjCyyA=" Certificate: "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" ``` ### 4. Update.exe (SilentCryptoMiner挖矿木马) - **来源**:GitHub项目(https://github.com/UnamSanctam/SilentCryptoMiner),已被禁用 - **行为分析**: - 复制自身至`C:\ProgramData\bjvvxgbjmpij\npldfzxzkixc.exe` - 创建`LDQRSTKE`服务实现自启动 - 释放驱动文件`edcchowqigmf.sys`(实为xmrig的WinRing0x64.sys) - 进程注入(dialer.exe) - **配置信息**: ``` 注入进程: dialer.exe 矿池地址: zeph.2miners.com:2222 钱包地址: ZEPHYR2CLWQJrcoTC34ZFxUhj3zHM6SXRL9rCJUoFpLsJgn2FQBiG5uYJD64vAodJNYiaGFjUpUEFUEZLYPjxgDm3AoF7ig3UiC1D stealth-targets: Taskmgr.exe,ProcessHacker.exe,perfmon.exe,procexp.exe,procexp64.exe 上线地址: http://51.77.140.74/api/endpoint.php ``` - **Rootkit功能**:隐藏指定进程 - **哈希值**:42FA3ED3A69E46DD9E736B6779FCB461 ### 5. svchost.exe (BlackNET僵尸网络) - **来源**:GitHub项目(https://github.com/FarisCode511/BlackNET),已删除 - **配置信息**: ``` Host = "http://91.92.242.16/Panel/" ID = "Ydt6Vl" Startup = "True" HardInstall = "True" StartName = "e162b1333458a713bc6916cc8ac4110c" BypassScanning = "True" USBSpread = "True" DBSpread = "True" ODSpread = "True" AntiVM = "True" ElevateUAC = "True" AESKey = "" AESStatus = "False" InstallName = "WindowsUpdate.exe" PathS = "Temp " ASchtask = "False" DebugMode = "False" KeyloggerOnRun = "False" WatcherStatus = "True" BinderStatus = "False" DropperPath = "" DownloaderStatus = "False" DownloaderPath = "" DelayCodeStatus = "True" DelayCodeTime = "4428" BypassWD = "True" EnableCP = "True" Ver = "v3.7.0 Public" st = 0 Y = "|BN|" MTX = "BN[]" ``` - **功能特点**: - 反虚拟机检测 - 通过USB、Dropbox、OneDrive传播 - 丰富的远控指令集(包括DDoS、文件操作、键盘记录等) - **哈希值**:67289188208C899195083547187789C9 ## 三、基础设施分析 ### 1. 域名与IP关联 | 域名/IP | 归属地 | 用途 | |---------|--------|------| | namzsmurf.net (91.92.242.16) | 荷兰 | BlackNET控制后台 | | royalblock.to (51.77.140.74) | 法国鲁贝 | SilentCryptoMiner控制后台 | | vps-276e8ec4.vps.ovh.net (51.77.140.74) | 法国鲁贝 | 与royalblock.to相同IP | | namz.read-books.org:1337 (87.89.82.13) | 法国斯特拉斯堡 | Quasar RAT C2服务器 | | zeph.2miners.com:2222 | - | 矿池地址 | | http://51.77.140.74/api/endpoint.php | 法国鲁贝 | SilentCryptoMiner上线地址 | | http://91.92.242.16/Panel/ | 荷兰 | BlackNET控制面板 | ### 2. 网站后台分析 - **namzsmurf.net**:部署BlackNET僵尸网络控制后台 - **royalblock.to**:部署SilentCryptoMiner挖矿木马控制后台 ## 四、防御建议 1. **用户防护**: - 不要下载来历不明的游戏辅助工具 - 警惕YouTube等平台上的"免费"脚本/外挂宣传 - 安装并更新杀毒软件 2. **企业防护**: - 监控对上述恶意域名的访问 - 检测Quasar RAT、SilentCryptoMiner和BlackNET的特征行为 - 加强对UPX加壳文件的检测 3. **IOC清单**: - **域名/IP**:namzsmurf.net, royalblock.to, 91.92.242.16, 51.77.140.74 - **文件哈希**:见上文各恶意软件章节 - **钱包地址**:ZEPHYR2CLWQJrcoTC34ZFxUhj3zHM6SXRL9rCJUoFpLsJgn2FQBiG5uYJD64vAodJNYiaGFjUpUEFUEZLYPjxgDm3AoF7ig3UiC1D 4. **检测规则**: - 监控%appdata%目录下的可疑文件创建 - 检测LDQRSTKE服务创建 - 关注dialer.exe进程的异常行为 - 检测WinRing0x64.sys驱动的加载 ## 五、技术总结 本次攻击活动展示了攻击者如何: 1. 利用游戏外挂需求作为诱饵 2. 组合使用多种开源恶意工具(Quasar RAT、SilentCryptoMiner、BlackNET) 3. 通过YouTube平台扩大传播范围 4. 使用自解压文件和多阶段加载规避检测 5. 结合远控、挖矿和僵尸网络功能实现多重获利 安全研究人员应关注此类多阶段、多组件的复合型攻击,并针对性地更新检测规则和防御策略。\]

针对LOL玩家的钓鱼攻击与恶意软件分析教学文档 一、攻击概述 攻击团伙利用YouTube平台针对《英雄联盟》(LOL)玩家发起钓鱼攻击,通过发布"游戏辅助脚本"视频诱导玩家下载恶意软件。攻击特点: 攻击时间线 : 2023年8月19日注册YouTube账号 2023年10月6日发布第一个视频《RoyalBlock.to: The Ultimate Block Battle Royale Experience !》 2024年7月24日发布第二个视频《LOL Script 2024 - Updated 07/08/2024 FREE TRIAL》 攻击手法 : 伪造大量评论营造受欢迎假象 提供精心构造的脚本下载网站(namzsmurf.net) 网站内容后期变更(如royalblock.to从方块游戏变为LOL辅助网站) 影响范围 : 全球数百名LOL玩家受控 大量中国玩家受影响 二、恶意软件分析 1. NamzScript.exe (自解压文件) 文件类型 :SFX自解压文件 行为分析 : 解压至%appdata%目录 执行start.vbs脚本 哈希值 :be87988d10070a2a95aa02f5cdab0aab 2. start.vbs 功能 : 使用密码"1337guy$$$"解压Client-built2.sfx.exe 哈希值 :9c9c5ace80e216ae113c55a317414edd 3. Client-built.exe (Quasar RAT远控木马) 版本 :1.4.1 来源 :直接从GitHub(https://github.com/quasar/Quasar)下载 配置信息解密 : 解密后配置 : 4. Update.exe (SilentCryptoMiner挖矿木马) 来源 :GitHub项目(https://github.com/UnamSanctam/SilentCryptoMiner),已被禁用 行为分析 : 复制自身至 C:\ProgramData\bjvvxgbjmpij\npldfzxzkixc.exe 创建 LDQRSTKE 服务实现自启动 释放驱动文件 edcchowqigmf.sys (实为xmrig的WinRing0x64.sys) 进程注入(dialer.exe) 配置信息 : Rootkit功能 :隐藏指定进程 哈希值 :42FA3ED3A69E46DD9E736B6779FCB461 5. svchost.exe (BlackNET僵尸网络) 来源 :GitHub项目(https://github.com/FarisCode511/BlackNET),已删除 配置信息 : 功能特点 : 反虚拟机检测 通过USB、Dropbox、OneDrive传播 丰富的远控指令集(包括DDoS、文件操作、键盘记录等) 哈希值 :67289188208C899195083547187789C9 三、基础设施分析 1. 域名与IP关联 | 域名/IP | 归属地 | 用途 | |---------|--------|------| | namzsmurf.net (91.92.242.16) | 荷兰 | BlackNET控制后台 | | royalblock.to (51.77.140.74) | 法国鲁贝 | SilentCryptoMiner控制后台 | | vps-276e8ec4.vps.ovh.net (51.77.140.74) | 法国鲁贝 | 与royalblock.to相同IP | | namz.read-books.org:1337 (87.89.82.13) | 法国斯特拉斯堡 | Quasar RAT C2服务器 | | zeph.2miners.com:2222 | - | 矿池地址 | | http://51.77.140.74/api/endpoint.php | 法国鲁贝 | SilentCryptoMiner上线地址 | | http://91.92.242.16/Panel/ | 荷兰 | BlackNET控制面板 | 2. 网站后台分析 namzsmurf.net :部署BlackNET僵尸网络控制后台 royalblock.to :部署SilentCryptoMiner挖矿木马控制后台 四、防御建议 用户防护 : 不要下载来历不明的游戏辅助工具 警惕YouTube等平台上的"免费"脚本/外挂宣传 安装并更新杀毒软件 企业防护 : 监控对上述恶意域名的访问 检测Quasar RAT、SilentCryptoMiner和BlackNET的特征行为 加强对UPX加壳文件的检测 IOC清单 : 域名/IP :namzsmurf.net, royalblock.to, 91.92.242.16, 51.77.140.74 文件哈希 :见上文各恶意软件章节 钱包地址 :ZEPHYR2CLWQJrcoTC34ZFxUhj3zHM6SXRL9rCJUoFpLsJgn2FQBiG5uYJD64vAodJNYiaGFjUpUEFUEZLYPjxgDm3AoF7ig3UiC1D 检测规则 : 监控%appdata%目录下的可疑文件创建 检测LDQRSTKE服务创建 关注dialer.exe进程的异常行为 检测WinRing0x64.sys驱动的加载 五、技术总结 本次攻击活动展示了攻击者如何: 利用游戏外挂需求作为诱饵 组合使用多种开源恶意工具(Quasar RAT、SilentCryptoMiner、BlackNET) 通过YouTube平台扩大传播范围 使用自解压文件和多阶段加载规避检测 结合远控、挖矿和僵尸网络功能实现多重获利 安全研究人员应关注此类多阶段、多组件的复合型攻击,并针对性地更新检测规则和防御策略。