报告作者:360核心安全部门360证书

0x00前言

《绝地求生:大逃杀》自Steam上线以来一直占据销量榜榜首，可见这款游戏的火爆程度。用户纷纷加入“吃鸡大军”，“耶稣求生:大逃亡”要求用户花98元在Steam Mall购买，才能开始“吃鸡”。黑产从业者也找到了“商机”，盯着用户手里的Steam账号。他们试图通过窃取蒸汽账户数据并出售来获利。

发布“邮箱数据”

而且我们还发现，这些黑制作人都在贴吧和QQ群里试图出售自己的非法Steam数据，大量的非法Steam数据交易都发布在“邮箱数据”贴吧里。此外，我们的360云安全系统监控最近发现，一些不法分子通过语音转换器、插件、加速器等方式传播窃取数据木马。木马一旦运行，就能成功窃取用户的QQ号和动态Skey。

为了方便用户，腾讯可以在已登录的QQ电脑中使用“快速登录”的方法。在使用这种登录方式的过程中，会生成一个密钥，这是另一张用于QQ登录的身份证。黑客可以用这个密钥识别用户的QQ，登录邮箱，QQ空，看相册，写日记，发帖聊天，微博，财付通，QB。

使用QQkey登录邮箱工具

通过伪装steam插件传播的犯罪分子，会通过快速登录QQ邮箱，窃取绑定到QQ邮箱的Steam账户及相关财产。

360-CERT分析过这个漏洞，认为该漏洞影响严重；目前相关报告已经公开，建议相关用户尽快制定评估方案。

0x01产业链分析

我们尝试与贴吧里的一个“人贩子”沟通，尝试还原整个黑客产业链的状况。

在沟通过程中，“人贩子”给我们展示了盗取Steam账号过程中需要的工具和测试数据。从工具上，我们发现他们用来盗取QQKey的邮件接收方式主要有腾讯企业邮箱和ASP邮件接收。

盗号木马生成器，QQKEY记录器

“人贩子”也告诉了我们这些工具的价格和圈里的源代码。整套盗号木马生成器一套易语言源码的价格是1500，而对于一些不懂易语言源码的工作室来说，主要是购买800左右价格的QQKey盗号木马生成器，甚至用来登录QQKey的伐木工也需要400。

我们要求“人贩子”测试木马，因为我们需要测试盗号木马是否可以避免杀死360。“人贩子”说，它的木马可以通过360，但文件下载后就被QVM杀死了。其实木马本身的技术门槛并不高。整个黑客过程中最重要的是账号数据量，在后续的沟通过程中，我们也“人贩子”得知他们的手段主要是引流和传播，并再次向我们展示了他们行业的“外号宝书”。

最后，我们把这种黑色产业链的情况还原如下:

0x02窃取QQkey

根据最近捕获的样本，我们发现这种盗日木马主要有两种窃取QQkey的攻击方式。

用QQ快速登录盗取QQ密钥

通过访问http://localhost . ptlogin 2 . qq . com:4300/[URL]获取用户登录QQ的密钥，并将Set-Cookie中的clientKey发送到牧民中的服务器(464690486.blkj.tk)。

牧民服务器通过qqkey.php接收QQ密钥进程存储，传输的数据主要包括QQ号、QQ名和QQ密钥。

将qq号码和qq登录密钥发送到指定的服务器

信息也会发送到指定的邮箱

特洛伊木马分发程序的接收网站流量:

注:此图来自360网络安全研究所

从网站流量来看，从2018年3月30日开始网站流量突然暴涨，我们也贴出了该站的访问日志。

另一个特洛伊木马分发程序的电子邮件地址:

这说明收获不便宜。

暴力搜索内存提取QQ密钥并上传到服务器或邮箱

阅读QQ.exe记忆

将Qq密钥发送到服务器

登录一个黑客的服务器，大约半个小时就可以看到2000多个QQ账号和密码被盗。

服务器上的Qq密钥记录

新品种

关于这个新变种，我们发现他用来获取QQkey的方法并没有改变(这个方法目前在国内只有360)

QQ密钥仍然通过QQ快速登录界面获取，如下图所示:

但是，我们发现他上传QQkey的方式发生了变化，从之前通过电子邮件和ASP接收改为socket通信，如下图，木马正在连接C & ampc服务器:

我们通过技术手段获得了这个变种的木马生成器，包括:自动访问QQ邮箱进行黑客攻击，管理获得的QQkey，自动生成木马等。可见功能非常齐全。

其中我们了解到服务器的流量在4月11日到4月12日之间飙升，说明变体应该会在4月11日发布。后来，我们截获了这个变种，C & ampc服务器的流程图如下:

注:此图来自360网络安全研究所

0x03 IOC

12e13e.exe 55AC 18 FB 660 F 726 EB 801 B8F 03 F9 EBC 37

wrqdfq.exe 37575d 21 b 8 CD 16 ABA 4c 3e 1b 3013 B1 e 31

QQPass.exe 6cb 90 f 793 db 09 fef 0077 e 599 c 6 ff 6f 20

0x04时间线预防建议

1.立即下载并安装“360安全卫士”来防范此类木马。

2.不要因为使用辅助软件而关闭安全软件的保护功能。

0x05摘要

360云安全大数据显示，这种类型的木马数量不断增加，不仅可能影响用户Steam账户的安全，还可能影响用户其他QQ服务的安全，并可能导致用户遭受巨大的经济损失。

建议用户立即下载并安装国内唯一能杀死此类样本的“360保安”。

猎云网3月2日报道(正文/孙策)

装饰行业历史悠久。基于国内房地产行业的特点和用户的认知，买房装修可以称为按需。同时，室内装修单价高，工艺材料复杂，用户认知不足，使得行业混乱，员工素质参差不齐，价格极不透明等因素让用户损失大量时间精力，整体体验差。

360装修网的定位是通过互联网技术和服务理念为用户提供最好的装修服务。就在昨天(3月1日)，齐家。互联网家装巨头com宣布获得D轮融资，2015年注定是互联网家装的热点，充满想象力空。

基于行业痛点，360房网希望打造一个透明的家装市场。通过在线视觉设计系统和材料清单，将用户看到和使用的材料公开，将用户最关心的质量问题以公众接受工作书的形式完全公开，支持用户监督。

签约客户可在360室安装网上下载验收标准操作手册，手册中明确、规范地陈述了各工序的技术标准和验收标准。用户可以自行检查标准书的可靠性，并随时前往施工现场进行现场检查。如果不符合要求，除了重新施工合格外，还可以获得一些补偿。