0
想不到吧,現在的盜號木馬都開始用搜索引擎打廣告了。
在某搜索引擎中直接搜索“集結號”,搜索結果中有一定的頻率會在前兩條中出現帶廣告標記的非官方“集結號”游戲的網址。
直接點擊打開第一條網址,進入該網站,看到頁面做的很逼真,高仿正規棋牌游戲網站,實際上點擊任意按鈕卻會彈出同一個下載地址如下所示,下載的文件即是包含盜號木馬的“集結號”游戲安裝包。
除了直接在搜索引擎中輸入“集結號”外,測試過程發現搜索“集結號吧”卻可以穩定在第一條搜索記錄里看到上述木馬釣魚網址。
然而避開該記錄點擊進入第二條真正的“集結號吧”網址后,發現這條誘導廣告還是緊隨而至,標題寫著“正版下載集結號”,打開后卻依然是那個釣魚網站。
再次忽略這條廣告,查看貼吧里的內容可以了解到一些“集結號”相關的行情。首先關注到這類棋牌游戲還是有不少用戶在玩,并且似乎很容易上癮,甚至很多用戶都是往里面充了不少錢,以下帖子為某用戶的吐槽:
接著發現貼吧里不少用戶在反饋這個行業里經常被騙,似乎有一類專門倒賣“虛擬金幣”的代理被稱呼為“銀商”,很多用戶通過不可靠的渠道找他們充值結果被騙了。
最后還關注到了,有用戶在貼吧里反饋自己的賬戶無故被盜,虛擬金幣被偷走,再次印證了這個圈子里面的亂象叢生。
實際上,此類釣魚網站的傳播和攔截實際上由來已久,作案團伙制做了大量的釣魚頁面來進行這種黑色產業,下圖所示是從部分釣魚網址提取的子域名前綴和主域名兩個部分,作案特征相對比較明顯。
【圖片來源:360】
根據360安全大腦監測,這款通過搜索引擎廣告位進行大量傳播的游戲盜號木馬對用戶的“虛擬財產”可能造成一大波損失。這里以上述被推廣的釣魚網站下載的游戲安裝包為例分析了盜號木馬的工作流程。
下載的安裝包是將官方的“集結號”游戲模塊重新打包,捆綁自己的惡意模塊,直接提取文件發現需要密碼:
捆綁的惡意模塊如下,這些模塊是否安裝釋放要根據指定的“checkP1”函數進行判斷:
“checkP1”函數的判斷比較簡單,通過執行一個WBEMScripting腳本查詢進程列表中是否有“vmtoolsd.exe”來檢測虛擬機,若該安裝包是在vm虛擬機中運行的則不會釋放惡意模塊。
在真實的環境中進行安裝測試,安裝完成后將自動運行“cxrdo.exe”程序來啟動惡意模塊“libcef.dll”,此過程是一例“白加黑”的利用。
惡意模塊“libcef.dll”啟動后,聯網下載“update.xml”配置列表,其中包含三個工作模塊的文件名和hash值,用于替換“集結號”安裝目錄下的程序模塊,保證啟動的游戲能夠加載惡意代碼。
三個工作模塊中,“AutoUpdateCHS.dll”用于劫持“集結號”游戲啟動過程中自動運行的更新程序“AutoUpdate.exe”,主要工作是聯網下載“GamePlaza.xml”配置列表,負責更新棋牌游戲的模塊,保證游戲能夠穩定的運行并包含惡意代碼。
另外兩個工作模塊“Voice.dll”和“Mfc71.dll”也算是一例“白加黑”的利用,棋牌游戲的主程序“GamePlaza.exe”在啟動過程中會自動導入“Mfc71.dll”這個運行庫,但該庫又引入了“Voice.dll”模塊,最終惡意模塊“Voice.dll”將在游戲啟動時自動加載來進行盜號的任務。
惡意模塊“Voice.dll”為此盜號木馬最核心的功能模塊,其中包含大量的代碼混淆處理來對抗分析。調試過程中發現,該模塊對“集結號”游戲啟動過程中加載的多個程序模塊做了hook操作,如“GamePlaza.exe”、“ChannelModule.dll”等,但實際盜號過程中并沒有執行到,猜測是以前使用的盜號方式沒有去掉。
游戲剛啟動時,惡意模塊往C&C服務器“111.230.126.189:5712”發送加密上線包,服務端則返回一條加密控制信息,其中包含“集結號”的登錄服務器地址信息,這些登錄服務器是對應顯示在游戲登錄窗口的服務器列表,實則由木馬作者動態控制,也就是說用戶登錄步驟完全被木馬程序劫持了。
當用戶輸入賬號密碼點擊登錄后,則登錄驗證會先經過上述動態控制的登錄服務器來遠程驗證賬號密碼的合法性,若賬號密碼錯誤則彈出提示,賬號密碼正確則進行下一步回傳記錄。
用戶成功登錄后,木馬就將盜取的賬戶密碼等登錄信息以json數據格式組織并加密回傳到C&C服務器,回傳的信息字段如下:
至此,用戶賬戶已經被木馬成功盜取,之后用戶可以正常地使用游戲客戶端沒有什么影響,木馬模塊只是接管了官方游戲的登錄流程,從而達到偷偷盜取用戶賬號密碼的目的。
對于游戲氪金玩家來說,要盡量通過官方、安全的下載渠道來安裝游戲,謹慎使用來歷不明的游戲外掛,防止遭受損失。
來源:360核心安全
雷鋒網雷鋒網雷鋒網
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
