一种新的木马程序正在针对流行的在线角色扮演游戏《魔兽世界》的用户,该木马程序能够劫持用户的账户,即使用户使用了双重认证。
暴雪娱乐公司的技术支持代表周五表示:“我们收到了一些报告,说有一个危险的木马正在被用来入侵玩家的账户,即使他们正在使用身份验证。”暴雪娱乐是这款游戏的开发商在战网论坛上留言。“这种木马会在你输入账户信息和身份验证密码的时候,实时地窃取你的账户信息和密码。”
战网是暴雪的在线游戏服务Battle.net身份是一个物理令牌或移动应用程序,它生成唯一的代码,用作除用户密码之外的身份验证的第二个因素。
通过拦截被感染计算机上的Battle.net登录尝试,木马程序可以捕获常规用户名和密码,以及验证者生成的唯一代码。由于后者本质上是一次性密码,在使用后就会失效,因此合法登录的尝试会被恶意软件阻止,所以当受害者试图找出哪里出了问题时,捕获的信息会被发送给攻击者,然后攻击者可以劫持账户。
这类似于其他木马程序让攻击者击败互联网银行网站使用的双因素认证。
感染这种新恶意软件的迹象包括在Windows启动列表中出现一个名为“Disker”或“Disker64”的程序。用户可以通过使用生成MSInfo报告来查看此列表战网网站上的说明然后查看“启动程序”部分。
在稍后更新在战网论坛上,另一名暴雪技术支持代表说,该公司追踪到的感染源是一个假的,但从一个假网站散发的诅咒客户端。诅咒客户端是一个第三方应用程序,可以用来安装附加组件和修改几个游戏,包括魔兽世界。
怀疑自己的电脑被该木马程序感染的用户被建议卸载该诅咒客户端,然后使用Malwarebytes进行扫描,Malwarebytes是一款有免费版本的反恶意软件工具。然而,暴雪的代表说,到目前为止,大多数安全产品应该能够检测到木马程序。
卸载流氓诅咒客户端是一个重要的步骤,因为客户端正积极地试图隐藏恶意软件的存在。
“对于那些对这些MitM(中间人)风格的攻击感兴趣的人来说,这是除了2012年初的‘配置/HIMYM’木马袭击少数账户之外,我们几年来所见过的唯一一次被证实的事件,”暴雪的代表说。“这类病毒爆发很烦人,但认证器仍能在99%的情况下保护你的账户。”