近日,360核心安全团队发现一款专门盗取Steam游戏玩家账号密码的木马正在传播,该木马伪装成Steam游戏、游戏加速器等相关软件进行钓鱼,用户下载安装后虽然可以方便快捷的玩游戏,但同时账号密码已经被木马偷偷回传。
传播拦截
该系列盗号木马近来较为活跃,主要是通过其精心制作的钓鱼页面进行传播,该页面仿冒正常的软件下载页面,让游戏玩家防不胜防。
如下为专门提供网游加速器下载的钓鱼页面:
360监测过程发现,该木马作者频繁更新钓鱼网站,发现网站被拦截后会进行域名更换,目前最新的钓鱼域名已被拦截。
以下为部分用于传播该类盗号木马的钓鱼网页所用的域名:
根据钓鱼域名随机查询某个域名注册者的信息,不难发现该作者批量注册了大量的随机域名,其背后的目的不免让人一番遐想。
样本分析
木马作者主要针对两类软件进行二次打包,捆绑上自己的盗号程序,其中一类是Steam游戏安装包,另外一类是游戏玩家经常使用的多款加速器软件。
1、捆绑Steam游戏安装包
用户从钓鱼网站或其他渠道下载了这种非官方的Steam游戏安装包,运行后首先会释放官方的Steam游戏安装包程序并启动让用户得以进行正常的安装操作:
然而等用户安装完官方的Steam游戏后,木马并不会随之退出,而是会驻留进程中偷偷等待用户启动游戏。当监控到用户启动Steam游戏并登录成功后,就用暴搜大法在steam进程内存中找到用户名和密码然后回传给木马作者!
在发现Steam游戏启动后,会监控安装目录下的一个重要文件(为防止教坏小朋友,具体文件就打码了),该文件是Steam登录过程的一个凭证(具体作用也不细说了), 木马会将该文件与获取到的账号密码一并发回给木马作者。
Steam的登录账号密码会明文存放在Steam.exe进程的一个模块中,木马直接读取Steam进程该模块数据,最后将在特定的位置(具体哪里我是不会告诉你的)找到账号和密码:
最后将找到的结果进行回传:
- 捆绑游戏加速器软件
除了直接捆绑Steam游戏安装包方便玩游戏(盗号)外,木马作者还把目标锁定在了经常在玩游戏时使用加速器软件的用户群体。目前发现世面上主流的多款加速器软件均被二次打包捆绑过该木马,其中包括“奇游加速器”、“雷神加速器”、“赛博加速器”、“泡泡加速器”、“熊猫加速器”、“量子加速器”、“玲珑加速器”、“海豚加速器”、“哒哒加速器”、“极讯加速器”等十多款,下面主要以二次捆绑的“奇游加速器”为例。
依然是从钓鱼网站或其他渠道下载了非官方的加速器软件,这次木马作者是将木马模块连同“奇游加速器”的程序模块一起打包成一个安装包,用户运行后首先进行安装:
安装完成后在用户桌面释放启动软件的快捷方式,实际上指向的是安装目录下的木马模块,用户运行后是先启动了木马,然后再由木马启动来“奇游加速器”。
然而木马模块启动后,似乎就不管这个加速器了,转而还是去监控了进程列表中的Steam游戏进程,不过这个是可以根据云端配置来控制的,以下加密配置的含义是当木马监控到用户运行了Steam游戏,就从服务器下载一个“cj.jpg”的文件重命名为Stools.exe,该文件实际是一个木马程序,具有和上述木马一样的盗号功能。
与上述木马区别的是,下载的木马程序运行时会先强制关闭正在运行的Steam游戏,好让用户重新登录账号时可以进行账号密码的盗取。
防护建议
针对此类盗取Steam游戏账号密码的木马,360已经进行全面拦截和保护,同时建议广大的游戏玩家,尽量通过官方、安全的下载渠道来安装游戏,谨慎使用来历不明的游戏外挂,防止遭受损失。