前言：

區塊鏈安全諮詢公司 曲速未來 訊息：數日前，有安全公司發現詐騙者正在使用針對Fortnite 遊戲玩家的比特幣（BTC）錢包地址的惡意軟體。安全研究人員調查了該遊戲的線上生態系統後，發現“詐騙者”將惡意資料盜竊程式碼隱藏在下載中。 調查顯示，所謂的“免費v-buck”(一種遊戲中的貨幣，可以用來購買額外的遊戲內容)也隱藏著惡意程式碼包。這些欺騙性連結是通過詐騙者的youtube頻道進行推廣的，這些頻道會將使用者重新定向到隱藏惡意軟體的下載中。然後將該檔案識別為“特洛伊木馬”。然後發現這是一個針對比特幣錢包、瀏覽器會話資訊、cookie和其他資料的資料竊取器。

令人難以置信的流行的視訊遊戲Fortnite的新賽季，也都是騙局。毫無疑問，騙子會跳上這個潮流，渴望兜售他們的假貨。

只是這一次，詐騙者的想法比你從未真正實現過的典型的低階調查和下載更危險。在所有肆無忌憚的騙局中，有一個惡意檔案準備竊取資料並列舉比特幣錢包。

那是怎麼找到的？首先，研究人員篩選了一個相當大的免費季節六次傳球，據稱是“免費”Android版本的Fortnite，這些版本是從開發者的鼻子下洩露出來的，這是一款曾經流行的“免費V-Bucks”用於購買遊戲中的其他內容，以及大量偽造的作弊，牆壁和瞄準機。

以下是YouTube的當前狀態，例如：

這些視訊可以帶來巨大的數字：這是一個被拉下來的，但在錘子落下之前設法獲得了120,000次觀看：

​

正如預期的那樣，幾乎所有騙局都遵循典型的調查路線。但埋藏在這一切中的是一個令人討厭的小資料竊取惡意軟體偽裝成作弊工具。

以欺騙為藉口提供惡意檔案就像老學校一樣，但是之前從未停止過網路犯罪分子。在這種情況下，潛在的騙子會通過菊花鏈點選和（最終）一些惡意軟體作為分離禮物來品嚐自己的藥物。

設定場景

提供此騙局的YouTube帳戶擁有700多名訂閱者，並且相關視訊在上傳後的當天已經有超過2,200次觀看。

​

單擊該連結可將潛在受害者傳送到Sub2Unlock上的頁面。此網站與典型的調查頁面不同，通常會點選優惠或填寫問題以獲得理論獎勵。相反，它要求您首先在傳送給您的人的社交入口網站上點選訂閱。所以有一個區別，就是蝙蝠。

​

另一個有趣的區別是，任何初始調查頁面都要求您在進行調查之前完成一項調查。如果不這樣做，您將無法訪問下載連結。

在這裡，在測試期間沒有進行驗證。點選訂閱按鈕只會開啟YouTube頻道的訂閱頁面，但沒有檢查任何內容以確保到實際訂閱了。此時所要做的就是返回Sub2Unlock站點並單擊下載按鈕。

從這裡開始，遊戲玩家將被帶到位於的網站

BT-fortnite祕籍（點）TK

這個網站是一個相當好看的入口網站，聲稱提供了所需的作弊工具，它很有可能說服年輕人合法化。點按一下按鈕，潛在的受害者被帶到一個更通用的下載網站，其中包含看似很多檔案以及各種廣告。

​

至於有問題的惡意檔案，在撰寫本文時，已經發生了1,207次下載。那是1,207次下載太多了。

檔案資訊

研究人員將此檔案檢測為Trojan.Malpack，這是對可疑檔案包含的一般檢測。實際的有效載荷可以是任何東西，但它總是沒有好處。在這種情況下，一點點挖掘並展示了有效載荷是資料竊取者。

​

一旦初始.EXE（重量僅為168KB）在目標系統上執行，它就會對受感染計算機特定的詳細資訊執行一些基本列舉。然後，它嘗試通過POST命令將資料傳送到俄羅斯聯邦的/index.php檔案，由IP地址5（點）101（點）78（點）169提供。

​

它需要關注的一些最值得注意的事情是瀏覽器會話資訊，cookie，比特幣錢包以及Steam會話。

​

奇怪的是，這也將此寫入到這個的測試系統：

......感恩的死，有人嗎？

對於類似命名主題的檔案，已經多次看到上面的IP地址。

可以看到的很多類似於這個的檔案都以完全不同的方式包裝。其中一個有一個名為“Stealer.exe”的程序。更多的被盜資訊釋出到gate.php而不是index.php，這是Zbot和其他一些的常見標誌。

雖然這個部落格的主題可能不是那麼新，但它仍然會對執行它的任何人造成相當大的損害。將它與當前發燒的新Fortnite內容相結合，是一個被盜資料的配方，之後需要大量的清理工作。

作為最後一點，應該提一下偷竊者隨附的自述檔案廣告，可以為“80美元的比特幣”購買額外的Fortnite作弊。

區塊鏈安全諮詢公司 曲速未來 表示：考慮到上面的事情被淘汰，建議任何想要欺騙的人都要避開這個。獲勝很棒，但絕對不值得冒很大一部分個人資訊來完成工作。

本文內容由 曲速未來 (WarpFuture.com) 安全諮詢公司整理編譯，轉載請註明。 曲速未來提供包括主鏈安全、交易所安全、交易所錢包安全、DAPP開發安全、智慧合約開發安全等相關區塊鏈安全諮詢服務。