《绝地:大逃杀》自Steam上线以来就一直占据销量榜榜首,可见该款游戏的热门程度。用户纷纷加入“吃鸡大军”,而《绝地:大逃杀》需要用户在Steam商城花费98元购买才能够开始“吃鸡”。黑产从业者也发现这里面“商机”并盯上了用户手里的Steam账号,他们试图通过盗取Steam账号数据并售卖,进而牟利。
而我们也发现这些黑产从业者正试图在贴吧、QQ群里售卖手里的非法Steam数据,其中的“邮箱数据”贴吧里发布了大量的非法Steam数据交易内容。并且,我们360云安全系统监测近期也有过一些借助变声器、外挂、加速器等进行盗号木马,该木马一旦运行,即可成功盗取得用户的QQ号和动态Skey。
通过伪装steam外挂的通过快速登录QQ邮箱,将盗取与QQ邮箱有绑定关系的Steam账号以及相关财产。
360-CERT对此漏洞进行了相关分析,认为漏洞影响严重;目前相关的报告已经公开,相关用户尽快进行评估预案。
沟通的过程“贩子”向我们展示了盗取Steam账号过程中需要的工具以及测试数据,从工具来看,我们发现他们用于窃取QQKey的收信方式主要有腾讯企业邮箱收信、ASP收信。
“贩子”还告诉了我们这些工具、源码在圈内的价位,整套盗号木马生成器的易语言源码一套售价1500,而对于一些不懂的加工易语言源码的工作室主要是通过购买价位在800左右的QQKey盗号木马生成器,就连用于登录QQKey的登录器也要400。
我们以需要测试盗号木马是否能够免杀360向“贩子”要了一个测试木马,“贩子”称它的木马能够过360,然而文件刚下载下来就被QVM查杀了。其实,该木马本身技术门槛并不高。而整个盗号流程中至关重要的就是账号数据量,而在后续沟通的过程中,我们也“贩子”那了解到他们的手法主要为引流,并再次向我们展示了他们行业“撸号宝典”。
牧马人的服务器通过qqkey.php以Get的方式接收QQkey进程存储,传输的数据主要有:qq号码、QQ名称、QQkey。
根据网站流量来看从2018年3月30日开始网站流量突然飙升,在我们也贴出了该站的访问日志。
关于这个新型变种,我们发现他获取QQkey使用的方法并没有改变(这种方法目前在国内目前只有360可以查杀)
不过我们发现他上传QQkey的方法发生了改变,由以前的通过邮箱收信、ASP收信变成了socket通信,如下图木马正在连接C&C服务器:
我们通过技术手段获得了该变种的木马学姐别这样生成器,该生成器中包含:全自动进入QQ邮箱盗号、管理获取的QQkey、自动生成木马等等,可见功能非常齐全。
其中,我们得知该服务器在4月11日至4月12日之间流量飙升,由此可见该变种应该是在4月11日的时候放出的,事后我们对此变种进行了拦截,该C&C服务器的流量图如下:
360云安全大数据显示该类型木马数量一直在不断的增加,不单单是可能影响到用户的Steam账号安全,也影响了用户QQ其他业务的安全性,有可能促使用户遭受较大的经济损失等。
本文由 325游戏(m.325games.com)整理发布
网友评论 ()条 查看