PDF《《Steam 新型盗号木马及产业链分析报告》》

https://cert.

360.cn 1| 咨询

电话:010-52448119 报告事件:cert@360.cn 《Steam 新型盗号木马及产业链分析报告》 安全报告:Steam 新型盗号木马及产业链分析报告 报告编号:B6-2018-041901 报告来源:360CERT,360 核心安全事业部 报告作者:Poner 更新日期:2018 年4月19 日https://cert.360.cn 2| 咨询

电话:010-52448119 报告事件:cert@360.cn 目录0x00 前言.3 0x01 产业链分析.4 0x02 窃取 QQkey.8 利用 QQ 快速登录窃取 QQKey.8 暴力搜索内存提取 QQkey,上传服务器或者邮箱.10 新型变种.11 0x03 IOC.12 0x04 防范建议.13 0x05 总结.13 https://cert.360.cn 3| 咨询

电话:010-52448119 报告事件:cert@360.cn 0x00 前言 《绝地求生:大逃杀》自Steam 上线以来就一直占据销量榜榜首,可见该款 游戏的热门程度.用户纷纷加入"吃鸡大军" ,而《绝地求生:大逃杀》需要用 户在 Steam 商城花费

98 元购买才能够开始 "吃鸡" . 黑产从业者也发现这里面 "商机" 并盯上了用户手里的Steam账号, 他们试图通过盗取Steam账号数据并售卖, 进而牟利. "邮箱数据"贴吧 而我们也发现这些黑产从业者正试图在贴吧、QQ 群里售卖手里的非法 Steam 数据, 其中的 "邮箱数据" 贴吧里发布了大量的非法 Steam 数据交易内容. 并且, 我们

360 云安全系统监测近期也有曝光过一些不法分子借助变声器、外挂、加速 器等进行盗号木马传播,该木马一旦运行,即可成功盗取得用户的 QQ 号和动态 Skey. 腾讯为了方便用户,在登录的 QQ 电脑中,可以使用"快速登录"的方式, 在使用此种登录方式的过程中,会产生一个密钥,是QQ 登录的另一种身份证, 盗号者可以通过这个 key 来识别用户的 QQ, 登录邮箱, QQ 空间、 看相册、 日记, 发布说说,微博,财付通,QB 查询…… https://cert.360.cn 4| 咨询

电话:010-52448119 报告事件:cert@360.cn 使用 QQkey 登录邮箱工具 通过伪装 steam 外挂传播的不法分子通过快速登录 QQ 邮箱,将盗取与 QQ 邮 箱有绑定关系的 Steam 账号以及相关财产. 0x01 产业链分析 我们尝试跟贴吧中一个"贩子"进行沟通,试图还原整个盗号产业链的情况. 聊天记录、盗号工具列表 https://cert.360.cn 5| 咨询

电话:010-52448119 报告事件:cert@360.cn 沟通的过程 "贩子" 向我们展示了盗取 Steam 账号过程中需要的工具以及测试数 据,从工具来看,我们发现他们用于窃取 QQKey 的收信方式主要有腾讯企业邮 箱收信、ASP 收信. 盗号木马生成器、QQKEY 登录器 邮件收信 "贩子"还告诉了我们这些工具、源码在圈内的价位,整套盗号木马生成器的易 语言源码一套售价 1500,而对于一些不懂的加工易语言源码的工作室主要是通 过购买价位在

800 左右的 QQKey 盗号木马生成器,就连用于登录 QQKey 的登录 器也要 400. https://cert.360.cn 6| 咨询

电话:010-52448119 报告事件:cert@360.cn 我们以需要测试盗号木马是否能够免杀

360 向"贩子"要了一个测试木马, "贩子"称它的木马能够过 360,然而文件刚下载下来就被 QVM 查杀了.其实,该 木马本身技术门槛并不高. 而整个盗号流程中至关重要的就是账号数据量,而在 后续沟通的过程中,我们也"贩子"那了解到他们的手法主要为引流传播,并再 次向我们展示了他们行业"撸号宝典" . https://cert.360.cn 7| 咨询

电话:010-52448119 报告事件:cert@360.cn 最终我们还原出关于这类黑色产业链的情况如下图: https://cert.360.cn 8| 咨询