首页 > 安全资讯 > 正文

Steam粘虫蠕虫式疯狂传播

  近期360安全大脑监测到一个steam盗号木马团伙又开始活跃,该团伙通过群发邮件,利用虚假外挂传播木马。木马被存储于蓝奏网盘中,受害者一旦下载运行木马,木马就会在用户登录steam游戏平台时窃取账号,并且该木马还会利用受害者当前机器登录的QQ账号进一步群发垃圾邮件,传播木马。

  1、 传播手段

   下图是通过群邮件进行传播的包含有该类盗号木马的内容,

  虽然邮件系统已经提示疑似垃圾邮件,但邮件标题并没有进行合适处理,对该类"蠕虫式"传播的垃圾邮件,拦截效果也大打折扣。盗号木马存放的下载链接后缀均使用极具迷惑性的首字母拼音命名,例如:

   hxxps://www.lanzous.com/bx

   hxxps://www.lanzous.com/Xdy

  页面内容也极具迷惑性,一般用户很容易点击下载。

  木马作者为了诱使受害者运行盗号木马,会将木马程序命名为"第一步xxx"、"点我破解"、"启动器"等名称。而为了让受害者不起疑心,木马作者将从网上获取到的一些外挂程序或正常软件命名为"第二步xxx" 或"破解后xxx"等等,这里以其中的一个为例进行分析,如下图所示:

  2、 窃取steam账号

    盗号木马运行后通过窗口覆盖的方式,伪造steam登陆窗体账号名称、密码、登陆三个控件,从而获取受害者steam登陆器界面输入的账号与密码,

   当受害者完成输入点击假登录按钮后,其输入的账号密码被上传到盗号者的服务器上。

  服务器上存储的已经被窃取的账号密码:

  同时,为了突破steam的账户安全策略,盗号木马还会上传受害者本机的机器验证的相关文件:

  3、 群邮件传播

    为了进一步扩大木马的传播,木马还加入了"QQ群蠕虫"的传播功能。盗号木马会尝试获取,聊天工具本地验证接口返回的clientkey,

通过clientkey获得群邮件接口的访问权限,

  之后通过构造类似下图的邮件内容,利用受害者聊天账号进行发布,所以一旦一个QQ用户中招,就会利用受害者的QQ再次群发该木马,传播范围将会进一步扩大。

  4、 威胁情况与拦截

  根据360安全大脑对该木马回传信息所使用的域名进行统计。该木马于1月下旬出现,并在1月底和2月上旬分别出现过两次小高峰。

对于Steam粘虫木马360安全卫士无需升级,可直接对该木马进行拦截。

   · 安全建议:

      做到如下几点可有效避免自身账号被盗,

         1. 安装具有steam账号保护功能的360安全卫士,预防被盗号

         2. 谨慎使用外挂,尤其是已经被杀毒软件拦截的外挂

         3. 不要随意打开游戏玩家发来的链接、文件,这些东西很有可能是钓鱼链接或者盗号木马。

         4. 开通手机令牌,发现异常,及时更改密码

         5. 给自己的邮箱设一个可靠点的密码。

         6. 用公共场所的电脑上网时,不要输入自己的敏感信息。

· IOC

hxxp://www.flkk918.com

hxxp://

hxxp://

hxxp://www.ob718.com

hxxp://www.laopohehe.top

hxxps://www.lanzous.com/LOL

hxxps://www.lanzous.com/bx

hxxps://www.lanzous.com/mm

hxxps://www.lanzous.com/Uu

hxxps://www.lanzous.com/uu

hxxps://www.lanzous.com/s/pjjsq

hxxps://www.lanzous.com/bx

hxxps://www.lanzous.com/xdy

hxxps://www.lanzous.com/Xdy

ada5d97fe0d93972128f8ed971e93f6a

03bd3039af119f4a2c37358eba31b709


360安全卫士

热点排行

用户
反馈
返回
顶部