數(shù)十款游戲被捆綁Steam盜號(hào)木馬

2025-03-31 20:05:09
我要分享


微信掃碼分享

近期，360互聯(lián)網(wǎng)安全中心接到用戶反饋稱：在下載并安裝某些游戲后，Steam賬號(hào)出現(xiàn)異常，疑似被盜號(hào)。經(jīng)技術(shù)溯源分析發(fā)現(xiàn)，不法分子通過(guò)篡改數(shù)十款熱門游戲安裝包，將惡意Steam盜號(hào)木馬程序與正常游戲文件進(jìn)行捆綁。而用戶一旦啟動(dòng)這些游戲，木馬便會(huì)同步激活后臺(tái)隱藏進(jìn)程實(shí)施盜號(hào)行為，具有極高隱蔽性。

樣本說(shuō)明

行為總述

本次捕獲到的被二次打包的是一款名為“LensLife”的游戲安裝包，我們便以此安裝包為例進(jìn)行分析。本次捕獲到的木馬樣本的攻擊流程簡(jiǎn)圖如下：

圖1. 木馬流程簡(jiǎn)圖

代碼分析

該樣本的主程序使用了python的cx_Freeze模塊進(jìn)行打包，啟動(dòng)后首先會(huì)讀取配置文件library.dat中所指向的壓縮包，并獲取壓縮包中的pyc文件（編譯過(guò)后的python腳本）：

圖2. 樣本讀取壓縮包中的python腳本

將這些pyc文件反編譯成可閱讀的python代碼并進(jìn)行分析，發(fā)現(xiàn)其主要功能為：拷貝執(zhí)行加載器程序Translate.exe以及正常游戲程序LensLife.exe。而此時(shí)執(zhí)行的這個(gè)Translate.exe加載器是由cx_Freeze打包的加載器,其功能取決于加載的library.dat配置文件中所指向的pyc腳本內(nèi)容。該樣本加載了帶有惡意代碼的pyc文件,由于加載器本身并無(wú)惡意而加載的載荷又為pyc腳本，因此其行為可能會(huì)繞過(guò)一些安全軟件的防護(hù)功能。

樣本執(zhí)行加載器的相關(guān)代碼如下圖所示：

圖3. 主程序執(zhí)行Translate.exe加載器的相關(guān)代碼

而在我們的測(cè)試，也通過(guò)對(duì)進(jìn)程樹的監(jiān)控發(fā)現(xiàn)該主程序啟動(dòng)后，會(huì)同時(shí)執(zhí)行兩條進(jìn)程鏈，其中一條的功能就是加載并執(zhí)行惡意代碼。

圖4. 樣本啟動(dòng)后的運(yùn)行進(jìn)程樹?

而與此同時(shí)，另一條進(jìn)程鏈則會(huì)執(zhí)行正常的游戲主程序，這也意味著被蒙在鼓里的受害用戶是可以游玩自己下載到的游戲的。

圖5. 游戲主程序正常啟動(dòng)?

與此同時(shí)，后臺(tái)啟動(dòng)的腳本加載器Translate.exe在加載惡意腳本后，會(huì)每隔5秒使用tasklist和findstr查找steam.exe進(jìn)程，并通過(guò)對(duì)內(nèi)存內(nèi)容的搜索來(lái)尋找?Steam的Token數(shù)據(jù)。

圖6. 木馬搜索Steam進(jìn)程并嘗試尋找Token數(shù)據(jù)

木馬一旦在設(shè)備內(nèi)存中成功獲取到Token后，會(huì)進(jìn)一步根據(jù)JWT協(xié)議對(duì)數(shù)據(jù)進(jìn)行解碼。最終，將解碼后的數(shù)據(jù)以POST方法回傳到其C2服務(wù)器中（hxxp://124.220.17.177:6678/aerh.php）。