โลกของเกมส่วนใหญ่จะเป็นสถานที่ที่มีการแข่งขันสูง โดยผู้เล่นหลายคนหันไปหาความช่วยเหลือจากโปรแกรมภายนอก (‘game hacks’) เพื่อให้ได้เปรียบ แม้ว่าโปรแกรมเหล่านี้บางโปรแกรมจะให้การช่วยเหลือในเกมอย่างถูกต้อง แต่ผู้ไม่หวังดีมักใช้ประโยชน์จากความสนใจของกลุ่มผู้ที่ชอบดัดแปลงเกม เพื่อนำมัลแวร์มาแพร่กระจาย หนึ่งในตัวอย่างนี้พบในชุมชนที่พัฒนาโปรแกรมโกงของเกมยอดนิยมอย่าง Roblox
Roblox เป็นแพลตฟอร์มเกมออนไลน์ และระบบสร้างเกมที่ได้รับความนิยม ซึ่งอนุญาตให้ผู้ใช้งานเล่น หรือสร้างเกมแบบผู้เล่นหลายคนได้ หนึ่งในตัวอย่างคือ Da Hood ซึ่งเป็นเกมในโครงสร้างของ Roblox โดยเกมนี้เกิดขึ้นในวัฒนธรรมแก๊งค์ ผู้เล่นสามารถเลือกที่จะเป็นตำรวจ หรืออาชญากร, เข้าร่วมกิจกรรมของแก๊งค์ หรือทำการต่อสู้กับแก๊งค์ เกมนี้ได้รับความนิยมอย่างมาก โดยปัจจุบันอยู่ในอันดับที่ 20 เกมยอดนิยมบน Roblox และมีการเข้าชมมากกว่า 2.6 พันล้านครั้ง
ผู้เล่นเกมจำนวนมาก รวมถึงผู้เล่น Roblox (และ Da Hood) เลือกติดตั้งโปรแกรมโกง (‘externals’), แฮ็ก และการปรับแต่ง (‘mods’) เพื่อเพิ่มประสบการณ์ในการเล่นเกม Mods สามารถเปลี่ยนแปลงรูปลักษณ์ หรือพฤติกรรมของเกม ในขณะที่โปรแกรมโกงอาจช่วยให้ผู้เล่นได้รับข้อได้เปรียบบางอย่างในระหว่างเล่นเกม เช่น “aimlock” ซึ่งช่วยเพิ่มความแม่นยำในเกมยิงปืน ตลอดระยะเวลาที่ผ่านมา มีชุมชนขนาดใหญ่เกิดขึ้นบนแพลตฟอร์มต่าง ๆ เช่น Reddit, YouTube และ Discord ซึ่งช่วยให้ผู้เล่นสามารถแลกเปลี่ยนเคล็ดลับ และเครื่องมือเกี่ยวกับ mods และ cheats สำหรับเกมต่าง ๆ ได้
Cheating the Cheaters: วิธีที่โปรแกรมภายนอก และ Mods ทำให้ผู้เล่นเสี่ยงต่อการติดมัลแวร์
เป็นที่ทราบกันดีว่าการติดตั้งโปรแกรมโกง และ Mods เหล่านี้สามารถทำให้ผู้เล่นเสี่ยงต่อการติดมัลแวร์ ผู้ไม่หวังดีสามารถใช้แพลตฟอร์มเกมยอดนิยม, ฟอรัม และชุมชนต่าง ๆ เพื่อแพร่กระจายมัลแวร์ เช่น โปรแกรมขโมยข้อมูล (stealers), RATs (Remote Access Trojans) และ cryptominers หนึ่งในตัวอย่างของแคมเปญในลักษณะนี้ได้ถูกบันทึกไว้ในงานวิจัยของ Cisco Talos ผู้ที่ใช้โปรแกรมโกงมักถูกชักชวนให้ปิดการใช้งานแอนตี้ไวรัส และการป้องกันแบบเรียลไทม์ เพื่อให้โปรแกรมโกงสามารถทำงานได้ ซึ่งทำให้พวกเขายิ่งเสี่ยงต่อการติดมัลแวร์มากขึ้น ดังที่เราจะเห็นในตัวอย่างต่อไปนี้
การค้นพบของนักวิจัย
ในการวิจัยล่าสุดเกี่ยวกับแพ็กเกจ PyPI ที่ถูกโจมตี และเป็นอันตราย ทีมวิจัยภัยคุกคามของ Imperva ได้ระบุแคมเปญมัลแวร์ที่กำลังดำเนินอยู่ ซึ่งมุ่งเป้าไปที่ผู้ที่ใช้งานที่ใช้โปรแกรมโกงใน Roblox โดยในการตรวจสอบนี้พบข้อมูลที่สำคัญหลายประการ
แพ็กเกจ Python ที่เป็นอันตรายถูกอัปโหลดไปยัง PyPI ซึ่งมีโค้ดที่ออกแบบมาเพื่อดาวน์โหลดไฟล์ Windows ที่เป็นอันตราย
แพ็กเกจเหล่านี้ถูกสร้างขึ้นเพื่อใช้ประโยชน์จากผู้ที่ใช้โปรแกรมโกงในเกม Da Hood ของ Roblox โดยปลอมตัวเป็นโปรแกรมโกงประเภท “external” เพื่อหลอกผู้ใช้งาน
ผู้ไม่หวังดีใช้แพลตฟอร์มต่าง ๆ เช่น GitHub, Discord และ YouTube เพื่อเผยแพร่โปรแกรมโกงเหล่านี้
ในบรรดาไฟล์ Windows ที่ค้นพบมีกรณีของ Skuld Stealer และ Blank Grabber ซึ่งเป็นมัลแวร์ขโมยข้อมูลที่เป็นที่รู้จักกันดี
เราจะเปิดเผยเกี่ยวกับแคมเปญนี้ และกลยุทธ์ที่พัฒนาขึ้นเรื่อย ๆ ของกลุ่มผู้ไม่หวังดีที่มุ่งเป้าไปยังชุมชนผู้ใช้โปรแกรมโกงในเกม
การติดตามร่องรอย
ทุกอย่างเริ่มต้นด้วยแพ็กเกจที่ชื่อว่า ‘pysleek’ ซึ่งถูกตรวจจับโดยระบบตรวจสอบ เมื่อตรวจสอบเพิ่มเติม นักวิจัยพบว่าแพ็กเกจนี้ดาวน์โหลดไฟล์ไบนารีที่ชื่อว่า ‘zwerve.