近期360安全大脑监测到一个Steam盗号木马团伙又开始活跃,该团伙通过群发邮件、虚假外挂传播盗号木马。该木马被存储于蓝奏网盘中,下载运行之后,它就会在用户登录Steam游戏平台时窃取受害者账号,并利用受害者当前机器登录的QQ账号群发垃圾邮件进一步传播。360安全大脑通过统计该木马回传信息所使用的域名发现它于1月下旬出现,并在1月底和2月上旬分别出现过两次小高峰。
虚假外挂配合邮件群发,Steam盗号木马传播力再加强
虽然系统已经提示该群发邮件疑似垃圾邮件,但由于标题并没有进行合适处理,对该类“蠕虫式”传播的垃圾邮件的拦截效果也大打折扣。
此外,该盗号木马存放的下载链接打开之后的页面极具诱惑性,后缀也使用极具迷惑性的首字母拼音命名,例如:
hxxps://www.lanzous.com/bx
hxxps://www.lanzous.com/Xdy
作者为了诱使受害者运行盗号木马,还将木马程序命名为“第一步xxx”、“点我破解”、“启动器”等名称,并将从网上获取到的一些外挂程序或正常软件命名为“第二步xxx” 或“破解后xxx”等等,这里以其中的一个为例进行分析,如下图所示:
盗号木马运行后通过窗口覆盖的方式,伪造Steam登陆窗体账号名称、密码、登陆三个控件,从而获取受害者Steam登陆器界面输入的账号与密码。
当受害者完成输入点击假登录按钮后,其输入的账号密码被上传到盗号者的服务器上。
服务器上存储的已经被窃取的账号密码:
同时,为了突破steam的账户安全策略,盗号木马还会上传受害者本机的机器验证的相关文件:
此外,为了进一步扩大感染面积,木马会尝试获取聊天工具本地验证借口返回的clientkey,进一步通过clientkey获得群邮件接口的访问权限,以增加“QQ群蠕虫”的传播功能。QQ用户感染之后,木马会利用受害者的QQ通过群发邮件再次传播,感染范围将会进一步扩大。
Steam防盗号有一手 360首家推出“Steam盗号保护”
360用户不必担心,安装具有“Steam盗号保护”的360安全卫士,可以第一时间拦截查杀该类木马,再加上独有的登录保护功能,保你和各类盗号木马说拜拜,用户只需登录weishi.360.cn一步安装360安全卫士即可。
结合Steam木马的感染传播态势,360安全大脑给出如下安全建议:
1. 安装具有“Steam盗号保护”的360安全卫士,可有效防御该盗号木马的各类攻击,防止账号被盗。
2. 谨慎使用外挂,尤其是已经被杀毒软件拦截的外挂。
3. 不要随意打开游戏玩家发来的链接、文件,这些东西很有可能是钓鱼链接或者盗号木马。
4. 开通手机令牌,发现异常,及时更改密码,邮箱密码切忌使用弱口令。
5. 用公共场所的电脑上网时,不要输入自己的敏感信息。
· IOC
hxxp://www.flkk918.com
hxxp://
hxxp://
hxxp://www.ob718.com
hxxp://www.laopohehe.top
hxxps://www.lanzous.com/LOL
hxxps://www.lanzous.com/bx
hxxps://www.lanzous.com/mm
hxxps://www.lanzous.com/Uu
hxxps://www.lanzous.com/uu
hxxps://www.lanzous.com/s/pjjsq
hxxps://www.lanzous.com/bx
hxxps://www.lanzous.com/xdy
hxxps://www.lanzous.com/Xdy
ada5d97fe0d93972128f8ed971e93f6a
03bd3039af119f4a2c37358eba31b709
来源 360安全卫士 |
|
|
|
评论
直达楼层