趋势科技网址:http://blog.trendmicro.com.tw/?p=10948
PlugX恶意软件出现在官方版本的英雄联盟和流亡黯道
台湾的资讯安全大会 – 台湾骇客年会（HITCON）上发表了一起针对多款线上游戏
的攻击。
两款热门线上游戏的官方版本被发现有问题，会下载恶意软件到系统上。
HITCON和趋势科技合作提供了清除工具给这波攻击的潜在受害者。
趋势科技接着和受到影响的游戏供应商合作来解决这起事件。
Plugx
有问题的官方版本
被用在这波攻击的游戏是线上游戏 – 英雄联盟（LoL）和流亡黯道（Path of Exile）。
远端存取木马（RAT）PlugX的变种出现在这些游戏的官方版本，而且显然地是针对于
亚洲特定国家的使用者。
感染链经由下载合法安装程式或更新游戏而触发。
有问题的游戏启动程式会植入三个档案：
合法游戏启动程式
用合法启动程式来盖掉有问题版本的“清理程式”
安装PlugX档案的植入程式
清理程式可以视为是一种掩饰恶意活动痕迹的作法。
到最后，受害者只会看到两个恶意档案，NtUserEx.dll和NtUserEx.dat
（都被侦测为BKDR_PLUGX.ZTBL-EC）。
PlugX允许远端攻击者在未经使用者许可或授权下执行恶意和资料窃取行为。
PlugX变种往往会针对合法的应用程式，所以利用这些游戏并不算是新手法。
一个比较大的分别是这个PlugX变种会建立自己的自动启动服务，而非利用合法应用程式
的服务。
仔细检查会发现“Cooper”字串出现在恶意软件内。而在另一起APT攻击活动中，
“Lee Cooper”这名字被用来注册命令与控制（C&C）服务器，这显示这两起攻击
活动背后可能是相同的团体。
http://tinyurl.com/knftyjr
图1、“Cooper”字串可以在恶意软件中找到
同时检查其凭证，我们注意到可疑档案的杂凑值是有效的，意味着有用“签章工具”
来配对有问题档案的杂凑值。而在另一方面，合法的游戏启动程式则带有
无效的数位签章。
追查源头
这些有问题的官方版本可以追查到Garena，这是一家亚洲的线上游戏代理商。
Garena和Riot Games、S2 Games和艺电等游戏厂商有合作关系，所以对
某些游戏有独家发行权。
在一份官方说明中，Garena说道“电脑和修补程式服务器受到了木马程式感染。
结果造成所有英雄联盟和流亡黯道的游戏程式受到感染”。
台湾和新加坡所受的影响最大
根据分析，似乎只有台湾版本的英雄联盟和流亡黯道受到影响。
趋势科技主动式云端截毒服务 Smart Protection Network的反馈资料也支持这项发现。
然而，我们也看到来自其他亚洲国家（如泰国、马来西亚和香港）的受害者。
http://tinyurl.com/kk4qc2z
图3、受影响的国家
分析C&C活动显示这些国家都会存取该C&C服务器。
恶意软件活动在Garena发表其官方公告后不久就停止了。
保护游戏玩家
而现在，已经确认Garena网站和其他相关连结的安装程式从2014年12月29日开始
都是干净的。趋势科技已经释出针对相关感染的清除工具供玩家使用。
Garena也建议了以下步骤来保护玩家帐号：
更新游戏
利用安全解决方案扫描电脑
变更帐号密码
使用Garena所提供的两步骤认证
趋势科技可以侦测和封锁所有相关威胁。
相关档案的杂凑值：
f920e6b34fb25f54c5f9b9b3a85dca6575708631 (FO3Launcher.exe)
bd33a49347ef6b175fb9bdbf2b295763e79016d6 (NtUserEx.dll)
f3eabaf2d7c21994cd2d79ad8a6c0acf610bbf78 (NtUserEx.dat)
额外分析来自Jimmy Hung、Marco Dela Vega、MingYen Hsieh、
Nancy Chuang、Razor Huang、Tim Yeh和Vico Fang