香港aa三级久久三级,色94色欧美sute亚洲线路二,色偷偷亚洲天堂av,玩弄japan白嫩少妇hd小说,午夜福利在线观看午夜电影街bt

數(shù)十款游戲被捆綁Steam盜號木馬

2025-03-31 20:05:09
我要分享


微信掃碼分享

近期，360互聯(lián)網(wǎng)安全中心接到用戶反饋稱：在下載并安裝某些游戲后，Steam賬號出現(xiàn)異常，疑似被盜號。經(jīng)技術(shù)溯源分析發(fā)現(xiàn)，不法分子通過篡改數(shù)十款熱門游戲安裝包，將惡意Steam盜號木馬程序與正常游戲文件進(jìn)行捆綁。而用戶一旦啟動這些游戲，木馬便會同步激活后臺隱藏進(jìn)程實施盜號行為，具有極高隱蔽性。

樣本說明

行為總述

本次捕獲到的被二次打包的是一款名為“LensLife”的游戲安裝包，我們便以此安裝包為例進(jìn)行分析。本次捕獲到的木馬樣本的攻擊流程簡圖如下：

圖1. 木馬流程簡圖

代碼分析

該樣本的主程序使用了python的cx_Freeze模塊進(jìn)行打包，啟動后首先會讀取配置文件library.dat中所指向的壓縮包，并獲取壓縮包中的pyc文件（編譯過后的python腳本）：

圖2. 樣本讀取壓縮包中的python腳本

將這些pyc文件反編譯成可閱讀的python代碼并進(jìn)行分析，發(fā)現(xiàn)其主要功能為：拷貝執(zhí)行加載器程序Translate.exe以及正常游戲程序LensLife.exe。而此時執(zhí)行的這個Translate.exe加載器是由cx_Freeze打包的加載器,其功能取決于加載的library.dat配置文件中所指向的pyc腳本內(nèi)容。該樣本加載了帶有惡意代碼的pyc文件,由于加載器本身并無惡意而加載的載荷又為pyc腳本，因此其行為可能會繞過一些安全軟件的防護(hù)功能。

樣本執(zhí)行加載器的相關(guān)代碼如下圖所示：

圖3. 主程序執(zhí)行Translate.exe加載器的相關(guān)代碼

而在我們的測試，也通過對進(jìn)程樹的監(jiān)控發(fā)現(xiàn)該主程序啟動后，會同時執(zhí)行兩條進(jìn)程鏈，其中一條的功能就是加載并執(zhí)行惡意代碼。

圖4. 樣本啟動后的運行進(jìn)程樹?

而與此同時，另一條進(jìn)程鏈則會執(zhí)行正常的游戲主程序，這也意味著被蒙在鼓里的受害用戶是可以游玩自己下載到的游戲的。

圖5. 游戲主程序正常啟動?

與此同時，后臺啟動的腳本加載器Translate.exe在加載惡意腳本后，會每隔5秒使用tasklist和findstr查找steam.exe進(jìn)程，并通過對內(nèi)存內(nèi)容的搜索來尋找?Steam的Token數(shù)據(jù)。

圖6. 木馬搜索Steam進(jìn)程并嘗試尋找Token數(shù)據(jù)

木馬一旦在設(shè)備內(nèi)存中成功獲取到Token后，會進(jìn)一步根據(jù)JWT協(xié)議對數(shù)據(jù)進(jìn)行解碼。最終，將解碼后的數(shù)據(jù)以POST方法回傳到其C2服務(wù)器中（hxxp://124.220.17.177:6678/aerh.php）。