充满病毒的《战地6》版本正在流传，对玩家造成严重损害

《战地6》正成为一场网络犯罪活动的目标，黑客利用虚假的盗版游戏针对玩家。潜在受害者数以百计。

网络犯罪分子利用《战地6》引发的狂热来制造受害者。

Electronic Arts 的《战地6》推出一个多月，造成了严重破坏，但这未必是发行商所预期的破坏。几周以来，网络犯罪分子一直在进行一场复杂的活动，利用玩家的狂热。Bitdefender 本周发布了一项调查，揭示了所谓的破解版本和作弊器（这些外部程序通过修改游戏来提供不公平优势）如何隐藏着贪婪的信息窃取者和极其隐蔽的远程控制代理。

网络犯罪分子利用《战地6》引发的狂热

《战地6》刚一上市，大量“免费”版本就涌入了种子网站。问题是，没有一个版本是真实的。攻击者嗅到了EA最新大作的商机，部署了他们恶意软件的军火库，赌的是那些急于绕过付款环节的玩家的急躁心理。这种对3A大作发布热潮的利用，已成为游戏网络犯罪领域一种成熟的策略。

黑客的技巧展示了有效的社会工程学。他们冒充 InsaneRamZes 和 RUNE——这两个传奇的游戏破解团体，披上了多年建立起来的声誉。这些真实的团体在地下社区中享有坚实的信任。因此，即使是盗版老手也可能上当，深信自己正在下载一个由知名团队签署的合法破解补丁。

实际感染范围尚不清楚，但警报信号不断累积

Bitdefender 统计了成百上千活跃在被感染种子上的种子提供者（发送和分享文件的人）和下载者（下载文件的人），这些人都可能是潜在的受害者。更令人担忧的是，其中一个恶意作弊器在谷歌上搜索“Battlefield 6 trainer”时，竟然出现在第二页。专家们对这种在搜索引擎上的可见性感到担忧，他们认为这会将曝光度扩大到远超出通常的盗版论坛圈子。

地理封锁揭示了网络犯罪分子可能的俄罗斯来源

第一个被分析的样本伪装成一个作弊器安装程序。在其看似简单的背后，隐藏着一个特别贪婪的信息窃取者。一旦运行，它会系统地搜刮 Chrome、Firefox、Edge、Brave、Opera、Vivaldi 和 WaveBrowser 浏览器，以窃取会话Cookie、密码和敏感数据。加密货币钱包也未能幸免于掠夺，特别是通过 iWallet 和 Yoroi 等扩展程序。然后，战利品会以明文形式发送到远程服务器，没有加密也没有任何隐蔽措施。

带有 InsaneRamZes 印记的版本则展现出明显更高的复杂程度。这款恶意软件首先检查您系统的语言和地理位置。如果检测到俄语或来自前苏联国家的配置，它会立即停止运行，以避免在这些国家面临法律诉讼。这是俄语网络犯罪分子的典型特征。此外，它会隐藏其真实行为以欺骗杀毒软件，并使其分析几乎不可能。

冒充 RUNE 签名的假 ISO 文件在危险性上更进了一步。这个 25 MB 的文件隐藏了一个分多个阶段安装的程序：自动解压，首先创建一个名为 2GreenYellow.dat 的文件，然后无声无息地安装一个永久性的间谍软件。后者会定期联系一个黑客服务器以接收命令。攻击者随后可以远程完全控制您的计算机、窃取您的数据或安装其他威胁。

所有被分析的文件均未提供合法的游戏功能

为了避免上当，有一条黄金法则：只从官方平台购买游戏。EA App, Steam, Epic Games Store, Uplay, GOG… 这些商店保证提供健康、真实的文件。诚然，游戏需要花钱，但与感染造成的后果相比，这微不足道，例如可能丢失加密货币、被盗取浏览器中保存的银行账户凭据，或者您的机器被完全控制。

作弊器对玩家构成了特殊的危险。即使是真正的作弊器，其修改游戏的方式也与病毒类似，这使得传统的杀毒软件难以检测。因此，非官方的作弊器构成了巨大的风险。此外，Bitdefender 的调查也证明了这一点，因为所有被分析的假《战地6》作弊器都没有提供真正的作弊功能，只有数据盗窃。

Bitdefender 强烈推荐使用实时的行为防护。与识别已知病毒的传统杀毒软件不同，这些新一代软件会在程序运行时分析其行为。它们能在恶意软件行动之前，识别并阻止异常行为（可疑的文件修改、奇怪的网络连接、代码注入）。对于数以百万计成为这些攻击目标的玩家来说，这种防御已变得不可或缺。