Steam粘虫蠕虫式疯狂传播

2019-02-15 18:38:33
我要分享


微信扫码分享

近期360安全大脑监测到一个steam盗号木马团伙又开始活跃，该团伙通过群发邮件，利用虚假外挂传播木马。木马被存储于蓝奏网盘中，受害者一旦下载运行木马，木马就会在用户登录steam游戏平台时窃取账号，并且该木马还会利用受害者当前机器登录的QQ账号进一步群发垃圾邮件，传播木马。

1、传播手段

下图是通过群邮件进行传播的包含有该类盗号木马的内容，

虽然邮件系统已经提示疑似垃圾邮件，但邮件标题并没有进行合适处理，对该类"蠕虫式"传播的垃圾邮件，拦截效果也大打折扣。盗号木马存放的下载链接后缀均使用极具迷惑性的首字母拼音命名，例如：

hxxps://www.lanzous.com/bx

hxxps://www.lanzous.com/Xdy

页面内容也极具迷惑性，一般用户很容易点击下载。

木马作者为了诱使受害者运行盗号木马，会将木马程序命名为"第一步xxx"、"点我破解"、"启动器"等名称。而为了让受害者不起疑心，木马作者将从网上获取到的一些外挂程序或正常软件命名为"第二步xxx" 或"破解后xxx"等等，这里以其中的一个为例进行分析，如下图所示：

2、窃取steam账号

盗号木马运行后通过窗口覆盖的方式，伪造steam登陆窗体账号名称、密码、登陆三个控件，从而获取受害者steam登陆器界面输入的账号与密码，

当受害者完成输入点击假登录按钮后，其输入的账号密码被上传到盗号者的服务器上。

服务器上存储的已经被窃取的账号密码：

同时，为了突破steam的账户安全策略，盗号木马还会上传受害者本机的机器验证的相关文件：

3、群邮件传播

为了进一步扩大木马的传播，木马还加入了"QQ群蠕虫"的传播功能。盗号木马会尝试获取，聊天工具本地验证接口返回的clientkey，

通过clientkey获得群邮件接口的访问权限，

之后通过构造类似下图的邮件内容，利用受害者聊天账号进行发布，所以一旦一个QQ用户中招，就会利用受害者的QQ再次群发该木马，传播范围将会进一步扩大。

4、威胁情况与拦截

根据360安全大脑对该木马回传信息所使用的域名进行统计。该木马于1月下旬出现，并在1月底和2月上旬分别出现过两次小高峰。

对于Steam粘虫木马360安全卫士无需升级，可直接对该木马进行拦截。

· 安全建议：

做到如下几点可有效避免自身账号被盗，

1. 安装具有steam账号保护功能的360安全卫士，预防被盗号

2. 谨慎使用外挂，尤其是已经被杀毒软件拦截的外挂

3. 不要随意打开游戏玩家发来的链接、文件，这些东西很有可能是钓鱼链接或者盗号木马。

4. 开通手机令牌，发现异常，及时更改密码

5. 给自己的邮箱设一个可靠点的密码。

6. 用公共场所的电脑上网时，不要输入自己的敏感信息。

· IOC

hxxp://www.flkk918.com

hxxp://

hxxp://www.ob718.com

hxxp://www.laopohehe.top

hxxps://www.lanzous.com/LOL

hxxps://www.lanzous.com/bx

hxxps://www.lanzous.com/mm

hxxps://www.lanzous.com/Uu

hxxps://www.lanzous.com/uu

hxxps://www.lanzous.com/s/pjjsq

hxxps://www.lanzous.com/bx

hxxps://www.lanzous.com/xdy

hxxps://www.lanzous.com/Xdy

ada5d97fe0d93972128f8ed971e93f6a

03bd3039af119f4a2c37358eba31b709

热点排行

Steam粘虫蠕虫式疯狂传播

热点排行

关注我们