近期360安全大脑监测到一个steam盗号木马团伙又开始活跃,该团伙通过群发邮件,利用虚假外挂传播木马。木马被存储于蓝奏网盘中,受害者一旦下载运行木马,木马就会在用户登录steam游戏平台时窃取账号,并且该木马还会利用受害者当前机器登录的QQ账号进一步群发垃圾邮件,传播木马。
1、 传播手段
下图是通过群邮件进行传播的包含有该类盗号木马的内容,
虽然邮件系统已经提示疑似垃圾邮件,但邮件标题并没有进行合适处理,对该类”蠕虫式”传播的垃圾邮件,拦截效果也大打折扣。盗号木马存放的下载链接后缀均使用极具迷惑性的首字母拼音命名,例如:
hxxps://www.lanzous.com/bx
hxxps://www.lanzous.com/Xdy
页面内容也极具迷惑性,一般用户很容易点击下载。
木马作者为了诱使受害者运行盗号木马,会将木马程序命名为”第一步xxx”、”点我破解”、”启动器”等名称。而为了让受害者不起疑心,木马作者将从网上获取到的一些外挂程序或正常软件命名为”第二步xxx” 或”破解后xxx”等等,这里以其中的一个为例进行分析,如下图所示:
2、 窃取steam账号
盗号木马运行后通过窗口覆盖的方式,伪造steam登陆窗体账号名称、密码、登陆三个控件,从而获取受害者steam登陆器界面输入的账号与密码,
当受害者完成输入点击假登录按钮后,其输入的账号密码被上传到盗号者的服务器上。
服务器上存储的已经被窃取的账号密码:
同时,为了突破steam的账户安全策略,盗号木马还会上传受害者本机的机器验证的相关文件:
3、 群邮件传播
为了进一步扩大木马的传播,木马还加入了”QQ群蠕虫”的传播功能。盗号木马会尝试获取,聊天工具本地验证接口返回的clientkey,
通过clientkey获得群邮件接口的访问权限,
之后通过构造类似下图的邮件内容,利用受害者聊天账号进行发布,所以一旦一个QQ用户中招,就会利用受害者的QQ再次群发该木马,传播范围将会进一步扩大。
4、 威胁情况与拦截
根据360安全大脑对该木马回传信息所使用的域名进行统计。该木马于1月下旬出现,并在1月底和2月上旬分别出现过两次小高峰。
对于Steam粘虫木马360安全卫士无需升级,可直接对该木马进行拦截。
· 安全建议:
做到如下几点可有效避免自身账号被盗,
1. 安装具有steam账号保护功能的360安全卫士,预防被盗号
2. 谨慎使用外挂,尤其是已经被杀毒软件拦截的外挂
3. 不要随意打开游戏玩家发来的链接、文件,这些东西很有可能是钓鱼链接或者盗号木马。
4. 开通手机令牌,发现异常,及时更改密码
5. 给自己的邮箱设一个可靠点的密码。
6. 用公共场所的电脑上网时,不要输入自己的敏感信息。
· IOC
hxxp://www.flkk918.com
hxxp://
hxxp://
hxxp://www.ob718.com
hxxp://www.laopohehe.top
hxxps://www.lanzous.com/LOL
hxxps://www.lanzous.com/bx
hxxps://www.lanzous.com/mm
hxxps://www.lanzous.com/Uu
hxxps://www.lanzous.com/uu
hxxps://www.lanzous.com/s/pjjsq
hxxps://www.lanzous.com/bx
hxxps://www.lanzous.com/xdy
hxxps://www.lanzous.com/Xdy
ada5d97fe0d93972128f8ed971e93f6a
03bd3039af119f4a2c37358eba31b709
限 时 特 惠: 本站每日持续更新海量各大内部创业教程,一年会员只需98元,全站资源免费下载 点击查看详情
站 长 微 信: lzxmw777