数十款游戏被捆绑Steam盗号木马

一、情况概述

近期，360互联网安全中心接到用户反馈称：在下载并安装某些游戏后，Steam账号出现异常，疑似被盗号。经技术溯源分析发现，不法分子通过篡改数十款热门游戏安装包，将恶意Steam盗号木马程序与正常游戏文件进行捆绑。而用户一旦启动这些游戏，木马便会同步激活后台隐藏进程实施盗号行为，具有极高隐蔽性。

二、样本说明

（一）行为总述

本次捕获到的被二次打包的是一款名为“LensLife”的游戏安装包，我们便以此安装包为例进行分析。本次捕获到的木马样本的攻击流程简图如下：

图1. 木马流程简图

 

（二）代码分析

该样本的主程序使用了python的cx_Freeze模块进行打包，启动后首先会读取配置文件library.dat中所指向的压缩包，并获取压缩包中的pyc文件（编译过后的python脚本）：

       图2. 样本读取压缩包中的python脚本

 

将这些pyc文件反编译成可阅读的python代码并进行分析，发现其主要功能为：拷贝执行加载器程序Translate.exe以及正常游戏程序LensLife.exe。而此时执行的这个Translate.exe加载器是由cx_Freeze打包的加载器,其功能取决于加载的library.dat配置文件中所指向的pyc脚本内容。该样本加载了带有恶意代码的pyc文件,由于加载器本身并无恶意而加载的载荷又为pyc脚本，因此其行为可能会绕过一些安全软件的防护功能。

样本执行加载器的相关代码如下图所示：

图3. 主程序执行Translate.exe加载器的相关代码

 

而在我们的测试，也通过对进程树的监控发现该主程序启动后，会同时执行两条进程链，其中一条的功能就是加载并执行恶意代码。

图4. 样本启动后的运行进程树

 

而与此同时，另一条进程链则会执行正常的游戏主程序，这也意味着被蒙在鼓里的受害用户是可以游玩自己下载到的游戏的。

图5. 游戏主程序正常启动

 

与此同时，后台启动的脚本加载器Translate.exe在加载恶意脚本后，会每隔5秒使用tasklist和findstr查找steam.exe进程，并通过对内存内容的搜索来寻找 Steam的Token数据。

图6. 木马搜索Steam进程并尝试寻找Token数据

 

木马一旦在设备内存中成功获取到Token后，会进一步根据JWT协议对数据进行解码。最终，将解码后的数据以POST方法回传到其C2服务器中（hxxp://124.220.17.177:6678/aerh.php）。

图7. 解码并推送Token数据

 

分析人员利用CE对Token进行手动定位，验证了该功能的可行性。

图8. 利用CE验证对Token的定位操作

 

之后，我们将定位到的数据依据JWT协议进行解密，其内容如下：

图9. 依据JWT协议解密后的数据

 

根据公开信息，解密出的Token信息中包含了用户的ID、登录令牌、令牌标识符以及各类时间戳及验证信息。而木马作者有可能利用这些信息登录到受害用户的Steam账号中并窃取其虚拟财产。

 

（三）关联分析

经过关联分析，发现有数十款游戏被重新打包加入恶意盗号木马，目前发现的相关游戏如下：

图10. 部分被重新打包加入盗号木马的游戏名

 

通过对360大数据的统计分析，发现受害用户区域分布如下：

图11. 盗号木马受害用户分布

 

三、安全建议

目前360安全产品可对该木马进行有效防御，建议用户：

1. 保持安全防护软件防护功能开启，并及时更新病毒库；
2. 避免下载非官方渠道的游戏程序；
3. 定期更新Steam账号双重验证机制。

 

四、IOCs

HASH

96f9e9985b9831558055b615e2cab8bc7e1175d2

C2

hxxp://124.220.17.177:6678/aerh.php