Steam新型盜號木馬及產業鏈的分析報告是什么

Steam新型盜號木馬及產業鏈的分析報告是什么，針對這個問題，這篇文章詳細介紹了相對應的分析和解答，希望可以幫助更多想解決這個問題的小伙伴找到更簡單易行的方法。

報告作者：360CERT，360核心安全事業部

0x00 前言

《絕地求生：大逃殺》自Steam上線以來就一直占據銷量榜榜首，可見該款游戲的熱門程度。用戶紛紛加入“吃雞大軍”，而《絕地求生：大逃殺》需要用戶在Steam商城花費98元購買才能夠開始“吃雞”。黑產從業者也發現這里面“商機”并盯上了用戶手里的Steam賬號，他們試圖通過盜取Steam賬號數據并售賣，進而牟利。

“郵箱數據”貼吧

而我們也發現這些黑產從業者正試圖在貼吧、QQ群里售賣手里的非法Steam數據，其中的“郵箱數據”貼吧里發布了大量的非法Steam數據交易內容。并且，我們360云安全系統監測近期也有曝光過一些不法分子借助變聲器、外掛、加速器等進行盜號木馬傳播，該木馬一旦運行，即可成功盜取得用戶的QQ號和動態Skey。

騰訊為了方便用戶，在登錄的QQ電腦中，可以使用“快速登錄”的方式，在使用此種登錄方式的過程中，會產生一個密鑰，是QQ登錄的另一種身份證，盜號者可以通過這個key來識別用戶的QQ，登錄郵箱，QQ空間、看相冊、日記，發布說說，微博，財付通，QB查詢……

使用QQkey登錄郵箱工具

通過偽裝steam外掛傳播的不法分子通過快速登錄QQ郵箱，將盜取與QQ郵箱有綁定關系的Steam賬號以及相關財產。

360-CERT對此漏洞進行了相關分析，認為漏洞影響嚴重；目前相關的報告已經公開，建議相關用戶盡快進行評估預案。

0x01 產業鏈分析

我們嘗試跟貼吧中一個“販子”進行溝通，試圖還原整個盜號產業鏈的情況。

溝通的過程“販子”向我們展示了盜取Steam賬號過程中需要的工具以及測試數據，從工具來看，我們發現他們用于竊取QQKey的收信方式主要有騰訊企業郵箱收信、ASP收信。

盜號木馬生成器、QQKEY登錄器

“販子”還告訴了我們這些工具、源碼在圈內的價位，整套盜號木馬生成器的易語言源碼一套售價1500，而對于一些不懂的加工易語言源碼的工作室主要是通過購買價位在800左右的QQKey盜號木馬生成器，就連用于登錄QQKey的登錄器也要400。

我們以需要測試盜號木馬是否能夠免殺360向“販子”要了一個測試木馬，“販子”稱它的木馬能夠過360，然而文件剛下載下來就被QVM查殺了。其實，該木馬本身技術門檻并不高。而整個盜號流程中至關重要的就是賬號數據量，而在后續溝通的過程中，我們也“販子”那了解到他們的手法主要為引流傳播，并再次向我們展示了他們行業“擼號寶典”。

最終我們還原出關于這類黑色產業鏈的情況如下圖：

0x02 竊取QQkey

我們根據近期捕獲的樣本中發現，此類盜號木馬的竊取QQkey的攻擊手法主要有兩種。

利用QQ快速登錄竊取QQKey

通過訪問http://localhost.ptlogin2.qq.com:4300/[url]獲取用戶登錄qq的key ,將Set-Cookie中的clientKey發送到牧馬人的服務器（464690486.blkj.tk）中。

牧馬人的服務器通過qqkey.php以Get的方式接收QQkey進程存儲，傳輸的數據主要有：qq號碼、QQ名稱、QQkey。

將qq號和qq登錄的key發送到指定服務器

還將信息發送到指定郵箱

其中某木馬分發者的收信網站流量：

注：該圖來自360網絡安全研究院

根據網站流量來看從2018年3月30日開始網站流量突然飆升，在上面我們也貼出了該站的訪問日志。

另外一個木馬分發者的收信郵箱：

由此可見收獲不菲。

暴力搜索內存提取QQkey，上傳服務器或者郵箱

讀取QQ.exe內存

發送QQKey到服務器

登錄到一個盜號者的服務器上，可以看到半小時左右就有2000多個QQ賬號和密碼被盜取。

服務器上QQKey記錄

新型變種

關于這個新型變種，我們發現他獲取QQkey使用的方法并沒有改變(這種方法目前在國內目前只有360可以查殺)

 依舊還是通過QQ快速登錄的接口獲取的QQkey，如下圖：

       不過我們發現他上傳QQkey的方法發生了改變，由以前的通過郵箱收信、ASP收信變成了socket通信，如下圖木馬正在連接C&C服務器：

       我們通過技術手段獲得了該變種的木馬生成器，該生成器中包含：全自動進入QQ郵箱盜號、管理獲取的QQkey、自動生成木馬等等，可見功能非常齊全。

       其中，我們得知該服務器在4月11日至4月12日之間流量飆升，由此可見該變種應該是在4月11日的時候放出的，事后我們對此變種進行了攔截，該C&C服務器的流量圖如下：

注：該圖來自360網絡安全研究院

0x03 IOC

12e13e.exe  55AC18FB660F726EB801B8F03F9EBC37

wrqdfq.exe   37575D21B8CD16ABA4C3E1B3013B1E31

QQPass.exe  6CB90F793DB09FEF0077E599C6FF6F20

0x04 時間線防范建議

1、立即下載安裝“360安全衛士”對此類木馬進行防范。

2、不要因為使用輔助軟件而關閉安全軟件的防護功能。

0x05 總結

360云安全大數據顯示該類型木馬數量一直在不斷的增加，不單單是可能影響到用戶的Steam賬號安全，也影響了用戶QQ其他業務的安全性，有可能促使用戶遭受較大的經濟損失等。

建議廣大用戶立即下載安裝目前國內唯一能查殺此類樣本的“360安全衛士”進行查殺。

。

關于Steam新型盜號木馬及產業鏈的分析報告是什么問題的解答就分享到這里了，希望以上內容可以對大家有一定的幫助，如果你還有很多疑惑沒有解開，可以關注億速云行業資訊頻道了解更多相關知識。