Rhadamanthys ซ่อนตัวในเกม Ren’Py พร้อมหลอกผู้เล่นด้วยหน้าจอโหลดปลอมยาว “1 ล้านวินาที”
นักวิจัยจาก AhnLab พบแคมเปญมัลแวร์ใหม่ที่ใช้เกมแนว Visual Novel สร้างด้วย Ren’Py เป็นเครื่องมือในการแพร่กระจาย Rhadamanthys Infostealer โดยแฝงตัวในไฟล์เกมปลอมที่ถูกแชร์ผ่านเว็บโหลดฟรี พร้อมหน้าจอหลอกให้ผู้เล่นรอโหลดเกมนานถึง “1 ล้านวินาที” เพื่อเบี่ยงเบนความสนใจระหว่างมัลแวร์ทำงานเบื้องหลัง
เทคนิคการโจมตีที่ใช้ในแคมเปญนี้
ใช้ Ren’Py เป็นช่องทางฝังมัลแวร์
Ren’Py เป็นเอนจินโอเพ่นซอร์สที่ใช้ Python และได้รับความนิยมในหมู่นักพัฒนาเกมอินดี้
โครงสร้างของ Ren’Py เปิดโอกาสให้ฝังสคริปต์อันตรายในไฟล์ script.rpy และ __init__.py ได้ง่าย
ไฟล์เกมปลอมถูกแชร์ผ่าน MediaFire และฟอรั่มเกมเถื่อน
ผู้ใช้ดาวน์โหลดไฟล์ .zip ที่มีชื่อชวนเชื่อ เช่น “Free Download Files.zip”
ภายในมีไฟล์ lnstaIer.exe ที่เมื่อรันจะเริ่มกระบวนการติดตั้ง Rhadamanthys
มัลแวร์ใช้เทคนิคซับซ้อนในการโหลดและแฝงตัว
สคริปต์ Python จะโหลดไฟล์ .rpa แล้วถอดรหัสเพื่อเรียกใช้ init.py ที่ฝังมัลแวร์
สร้างโฟลเดอร์ชั่วคราวและเรียกใช้ไฟล์ UIS4tq7P.exe พร้อม DLL ที่ฝัง Rhadamanthys
สร้างหน้าจอโหลดปลอมที่แสดงเวลา “999999 วินาที” เพื่อหลอกผู้ใช้ให้รอ
Rhadamanthys ทำงานเก็บข้อมูลระบบและถอดรหัสไฟล์คอนฟิก
ตรวจสอบว่าอยู่ใน VM หรือไม่, เชื่อมต่ออินเทอร์เน็ตได้หรือเปล่า
ถอดรหัสไฟล์ .key ที่เก็บชื่อ payload, รหัสผ่าน และชื่อไฟล์ที่ใช้ในการโจมตี
พบการใช้เทคนิคเดียวกันกับ LummaC2 Infostealer
มีกรณีที่บัญชีนักพัฒนาเกมถูกแฮกและใช้เผยแพร่ LummaC2 แทนเกมจริง
แสดงให้เห็นว่าช่องทางชุมชนเกมสามารถถูกใช้เป็นเครื่องมือโจมตีได้
https://securityonline.info/rhadamanthys-infostealer-hides-in-renpy-visual-novel-games-deploys-malware-via-fake-1-million-second-loading-screen/
นักวิจัยจาก AhnLab พบแคมเปญมัลแวร์ใหม่ที่ใช้เกมแนว Visual Novel สร้างด้วย Ren’Py เป็นเครื่องมือในการแพร่กระจาย Rhadamanthys Infostealer โดยแฝงตัวในไฟล์เกมปลอมที่ถูกแชร์ผ่านเว็บโหลดฟรี พร้อมหน้าจอหลอกให้ผู้เล่นรอโหลดเกมนานถึง “1 ล้านวินาที” เพื่อเบี่ยงเบนความสนใจระหว่างมัลแวร์ทำงานเบื้องหลัง
เทคนิคการโจมตีที่ใช้ในแคมเปญนี้
ใช้ Ren’Py เป็นช่องทางฝังมัลแวร์
Ren’Py เป็นเอนจินโอเพ่นซอร์สที่ใช้ Python และได้รับความนิยมในหมู่นักพัฒนาเกมอินดี้
โครงสร้างของ Ren’Py เปิดโอกาสให้ฝังสคริปต์อันตรายในไฟล์ script.rpy และ __init__.py ได้ง่าย
ไฟล์เกมปลอมถูกแชร์ผ่าน MediaFire และฟอรั่มเกมเถื่อน
ผู้ใช้ดาวน์โหลดไฟล์ .zip ที่มีชื่อชวนเชื่อ เช่น “Free Download Files.zip”
ภายในมีไฟล์ lnstaIer.exe ที่เมื่อรันจะเริ่มกระบวนการติดตั้ง Rhadamanthys
มัลแวร์ใช้เทคนิคซับซ้อนในการโหลดและแฝงตัว
สคริปต์ Python จะโหลดไฟล์ .rpa แล้วถอดรหัสเพื่อเรียกใช้ init.py ที่ฝังมัลแวร์
สร้างโฟลเดอร์ชั่วคราวและเรียกใช้ไฟล์ UIS4tq7P.exe พร้อม DLL ที่ฝัง Rhadamanthys
สร้างหน้าจอโหลดปลอมที่แสดงเวลา “999999 วินาที” เพื่อหลอกผู้ใช้ให้รอ
Rhadamanthys ทำงานเก็บข้อมูลระบบและถอดรหัสไฟล์คอนฟิก
ตรวจสอบว่าอยู่ใน VM หรือไม่, เชื่อมต่ออินเทอร์เน็ตได้หรือเปล่า
ถอดรหัสไฟล์ .key ที่เก็บชื่อ payload, รหัสผ่าน และชื่อไฟล์ที่ใช้ในการโจมตี
พบการใช้เทคนิคเดียวกันกับ LummaC2 Infostealer
มีกรณีที่บัญชีนักพัฒนาเกมถูกแฮกและใช้เผยแพร่ LummaC2 แทนเกมจริง
แสดงให้เห็นว่าช่องทางชุมชนเกมสามารถถูกใช้เป็นเครื่องมือโจมตีได้
https://securityonline.info/rhadamanthys-infostealer-hides-in-renpy-visual-novel-games-deploys-malware-via-fake-1-million-second-loading-screen/
🎮🐍 Rhadamanthys ซ่อนตัวในเกม Ren’Py พร้อมหลอกผู้เล่นด้วยหน้าจอโหลดปลอมยาว “1 ล้านวินาที”
นักวิจัยจาก AhnLab พบแคมเปญมัลแวร์ใหม่ที่ใช้เกมแนว Visual Novel สร้างด้วย Ren’Py เป็นเครื่องมือในการแพร่กระจาย Rhadamanthys Infostealer โดยแฝงตัวในไฟล์เกมปลอมที่ถูกแชร์ผ่านเว็บโหลดฟรี พร้อมหน้าจอหลอกให้ผู้เล่นรอโหลดเกมนานถึง “1 ล้านวินาที” เพื่อเบี่ยงเบนความสนใจระหว่างมัลแวร์ทำงานเบื้องหลัง
✅ เทคนิคการโจมตีที่ใช้ในแคมเปญนี้
✅ ใช้ Ren’Py เป็นช่องทางฝังมัลแวร์
➡️ Ren’Py เป็นเอนจินโอเพ่นซอร์สที่ใช้ Python และได้รับความนิยมในหมู่นักพัฒนาเกมอินดี้
➡️ โครงสร้างของ Ren’Py เปิดโอกาสให้ฝังสคริปต์อันตรายในไฟล์ script.rpy และ __init__.py ได้ง่าย
✅ ไฟล์เกมปลอมถูกแชร์ผ่าน MediaFire และฟอรั่มเกมเถื่อน
➡️ ผู้ใช้ดาวน์โหลดไฟล์ .zip ที่มีชื่อชวนเชื่อ เช่น “Free Download Files.zip”
➡️ ภายในมีไฟล์ lnstaIer.exe ที่เมื่อรันจะเริ่มกระบวนการติดตั้ง Rhadamanthys
✅ มัลแวร์ใช้เทคนิคซับซ้อนในการโหลดและแฝงตัว
➡️ สคริปต์ Python จะโหลดไฟล์ .rpa แล้วถอดรหัสเพื่อเรียกใช้ init.py ที่ฝังมัลแวร์
➡️ สร้างโฟลเดอร์ชั่วคราวและเรียกใช้ไฟล์ UIS4tq7P.exe พร้อม DLL ที่ฝัง Rhadamanthys
➡️ สร้างหน้าจอโหลดปลอมที่แสดงเวลา “999999 วินาที” เพื่อหลอกผู้ใช้ให้รอ
✅ Rhadamanthys ทำงานเก็บข้อมูลระบบและถอดรหัสไฟล์คอนฟิก
➡️ ตรวจสอบว่าอยู่ใน VM หรือไม่, เชื่อมต่ออินเทอร์เน็ตได้หรือเปล่า
➡️ ถอดรหัสไฟล์ .key ที่เก็บชื่อ payload, รหัสผ่าน และชื่อไฟล์ที่ใช้ในการโจมตี
✅ พบการใช้เทคนิคเดียวกันกับ LummaC2 Infostealer
➡️ มีกรณีที่บัญชีนักพัฒนาเกมถูกแฮกและใช้เผยแพร่ LummaC2 แทนเกมจริง
➡️ แสดงให้เห็นว่าช่องทางชุมชนเกมสามารถถูกใช้เป็นเครื่องมือโจมตีได้
https://securityonline.info/rhadamanthys-infostealer-hides-in-renpy-visual-novel-games-deploys-malware-via-fake-1-million-second-loading-screen/
0 Comments
0 Shares
45 Views
0 Reviews
Thai