报告作者:360核心安全部门360证书
0x00前言
《绝地求生:大逃杀》自Steam上线以来一直占据销量榜榜首,可见这款游戏的火爆程度。用户纷纷加入“吃鸡大军”,“耶稣求生:大逃亡”要求用户花98元在Steam Mall购买,才能开始“吃鸡”。黑产从业者也找到了“商机”,盯着用户手里的Steam账号。他们试图通过窃取蒸汽账户数据并出售来获利。
发布“邮箱数据”
而且我们还发现,这些黑制作人都在贴吧和QQ群里试图出售自己的非法Steam数据,大量的非法Steam数据交易都发布在“邮箱数据”贴吧里。此外,我们的360云安全系统监控最近发现,一些不法分子通过语音转换器、插件、加速器等方式传播窃取数据木马。木马一旦运行,就能成功窃取用户的QQ号和动态Skey。
为了方便用户,腾讯可以在已登录的QQ电脑中使用“快速登录”的方法。在使用这种登录方式的过程中,会生成一个密钥,这是另一张用于QQ登录的身份证。黑客可以用这个密钥识别用户的QQ,登录邮箱,QQ空,看相册,写日记,发帖聊天,微博,财付通,QB。
使用QQkey登录邮箱工具
通过伪装steam插件传播的犯罪分子,会通过快速登录QQ邮箱,窃取绑定到QQ邮箱的Steam账户及相关财产。
360-CERT分析过这个漏洞,认为该漏洞影响严重;目前相关报告已经公开,建议相关用户尽快制定评估方案。
0x01产业链分析
我们尝试与贴吧里的一个“人贩子”沟通,尝试还原整个黑客产业链的状况。
在沟通过程中,“人贩子”给我们展示了盗取Steam账号过程中需要的工具和测试数据。从工具上,我们发现他们用来盗取QQKey的邮件接收方式主要有腾讯企业邮箱和ASP邮件接收。
盗号木马生成器,QQKEY记录器
“人贩子”也告诉了我们这些工具的价格和圈里的源代码。整套盗号木马生成器一套易语言源码的价格是1500,而对于一些不懂易语言源码的工作室来说,主要是购买800左右价格的QQKey盗号木马生成器,甚至用来登录QQKey的伐木工也需要400。
我们要求“人贩子”测试木马,因为我们需要测试盗号木马是否可以避免杀死360。“人贩子”说,它的木马可以通过360,但文件下载后就被QVM杀死了。其实木马本身的技术门槛并不高。整个黑客过程中最重要的是账号数据量,在后续的沟通过程中,我们也“人贩子”得知他们的手段主要是引流和传播,并再次向我们展示了他们行业的“外号宝书”。
最后,我们把这种黑色产业链的情况还原如下:
0x02窃取QQkey
根据最近捕获的样本,我们发现这种盗日木马主要有两种窃取QQkey的攻击方式。
用QQ快速登录盗取QQ密钥
通过访问http://localhost . ptlogin 2 . qq . com:4300/[URL]获取用户登录QQ的密钥,并将Set-Cookie中的clientKey发送到牧民中的服务器(464690486.blkj.tk)。
牧民服务器通过qqkey.php接收QQ密钥进程存储,传输的数据主要包括QQ号、QQ名和QQ密钥。
将qq号码和qq登录密钥发送到指定的服务器
信息也会发送到指定的邮箱
特洛伊木马分发程序的接收网站流量:
注:此图来自360网络安全研究所
从网站流量来看,从2018年3月30日开始网站流量突然暴涨,我们也贴出了该站的访问日志。
另一个特洛伊木马分发程序的电子邮件地址:
这说明收获不便宜。
暴力搜索内存提取QQ密钥并上传到服务器或邮箱
阅读QQ.exe记忆
将Qq密钥发送到服务器
登录一个黑客的服务器,大约半个小时就可以看到2000多个QQ账号和密码被盗。
服务器上的Qq密钥记录
新品种
关于这个新变种,我们发现他用来获取QQkey的方法并没有改变(这个方法目前在国内只有360)
QQ密钥仍然通过QQ快速登录界面获取,如下图所示:
但是,我们发现他上传QQkey的方式发生了变化,从之前通过电子邮件和ASP接收改为socket通信,如下图,木马正在连接C & ampc服务器:
我们通过技术手段获得了这个变种的木马生成器,包括:自动访问QQ邮箱进行黑客攻击,管理获得的QQkey,自动生成木马等。可见功能非常齐全。
其中我们了解到服务器的流量在4月11日到4月12日之间飙升,说明变体应该会在4月11日发布。后来,我们截获了这个变种,C & ampc服务器的流程图如下:
注:此图来自360网络安全研究所
0x03 IOC
12e13e.exe 55AC 18 FB 660 F 726 EB 801 B8F 03 F9 EBC 37
wrqdfq.exe 37575d 21 b 8 CD 16 ABA 4c 3e 1b 3013 B1 e 31
QQPass.exe 6cb 90 f 793 db 09 fef 0077 e 599 c 6 ff 6f 20
0x04时间线预防建议
1.立即下载并安装“360安全卫士”来防范此类木马。
2.不要因为使用辅助软件而关闭安全软件的保护功能。
0x05摘要
360云安全大数据显示,这种类型的木马数量不断增加,不仅可能影响用户Steam账户的安全,还可能影响用户其他QQ服务的安全,并可能导致用户遭受巨大的经济损失。
建议用户立即下载并安装国内唯一能杀死此类样本的“360保安”。
