新型勒索病毒利用《崩坏：星穹铁道》来隐秘自我传播

关键要点

• 新型勒索病毒“Kransom”通过《崩坏：星穹铁道》的可执行文件来启动自己，从而避免被检测。
• 使用动态链接库（DLL）侧载技术劫持合法可执行文件的执行流。
• 加密算法使用简单的异或（XOR）加密，密钥为0xaa。
• 勒索信息伪装成游戏开发者的联系，进一步进行身份冒充。
• 游戏相关的勒索攻击显示出威胁行为者可能会利用其他流行软件。

新型勒索病毒“Kransom”通过流行视频游戏《崩坏：星穹铁道》的可执行文件来启动自身，并巧妙地规避用户和防病毒软件的检测。根据ANY.RUN分析师的报道，Kransom采用了一种称为动态链接库（DLL）侧载的技术，劫持合法的“星穹铁道”可执行文件StarRail.exe的执行流。

《崩坏：星穹铁道》是一款颇受欢迎的角色扮演游戏，玩家人数约为2100万。StarRail.exe本身拥有游戏出版商COGNOSPHERE PTE. LTD.的有效证书，单独运行并不危险。

然而，当恶意文件StarRailBase.dll被安装后，启动游戏可执行文件将触发勒索病毒的加载，并开始加密受害者的文件。根据ANY.RUN分析师在周一发布的博客文章，Kransom使用一个简单的XOR加密算法，采用的编码密钥为0xaa。

加密后留下的勒索说明 instructs 受害者联系游戏开发者Hoyoverse，进一步达到身份冒充的目的。

DLL侧载技术使受信任应用程序遭劫持实现隐蔽性

Kransom利用这个视频游戏及其有效证书来逃避用户和防病毒软件的怀疑。这种技术使得网络安全软件更难检测到与游戏一起启动的恶意代码，相比于用户直接运行不被信任的恶意可执行文件时。

DLL侧载技术在以往的恶意软件活动中已经被使用，例如2022年通过合法的Windows 7计算器应用程序侧载传播Qakbot恶意软件的活动。

去年，一起DLL侧载活动劫持了合法的商业通信软件3CX的执行过程，并导致一场复杂的供应链攻击。在这种情况下，3CX桌面应用本身遭到破坏，恶意代码嵌入到应用程序中，导致3CX撤销了受影响版本的证书。

ANY.RUN的分析师写道：“针对像《崩坏：星穹铁道》这样的游戏的勒索攻击，表明恶意行为者可能会使用类似的方法攻击其他流行软件。”

在游戏作弊、模组、游戏内货币或付费游戏的免费版本等名义下传播恶意软件的情况并不罕见。用户在下载任何不被信任来源的软件下载时应保持警惕。

"网络安全风险不断演变，用户必须保持警觉，以保证自身安全。"

【了解更多关于勒索病毒的信息，请访问以下链接】 - - - -