数十款游戏被捆绑Steam盗号木马

阅读量28251

发布时间 : 2025-03-31 17:42:51

一、情况概述

近期,360互联网安全中心接到用户反馈称:在下载并安装某些游戏后,Steam账号出现异常,疑似被盗号。经技术溯源分析发现,不法分子通过篡改数十款热门游戏安装包,将恶意Steam盗号木马程序与正常游戏文件进行捆绑。而用户一旦启动这些游戏,木马便会同步激活后台隐藏进程实施盗号行为,具有极高隐蔽性。

二、样本说明

(一)行为总述

本次捕获到的被二次打包的是一款名为“LensLife”的游戏安装包,我们便以此安装包为例进行分析。本次捕获到的木马样本的攻击流程简图如下:

图1. 木马流程简图

 

(二)代码分析

该样本的主程序使用了python的cx_Freeze模块进行打包,启动后首先会读取配置文件library.dat中所指向的压缩包,并获取压缩包中的pyc文件(编译过后的python脚本):

       图2. 样本读取压缩包中的python脚本

 

将这些pyc文件反编译成可阅读的python代码并进行分析,发现其主要功能为:拷贝执行加载器程序Translate.exe以及正常游戏程序LensLife.exe。而此时执行的这个Translate.exe加载器是由cx_Freeze打包的加载器,其功能取决于加载的library.dat配置文件中所指向的pyc脚本内容。该样本加载了带有恶意代码的pyc文件,由于加载器本身并无恶意而加载的载荷又为pyc脚本,因此其行为可能会绕过一些安全软件的防护功能。

样本执行加载器的相关代码如下图所示:

图3. 主程序执行Translate.exe加载器的相关代码

 

而在我们的测试,也通过对进程树的监控发现该主程序启动后,会同时执行两条进程链,其中一条的功能就是加载并执行恶意代码。

图4. 样本启动后的运行进程树

 

而与此同时,另一条进程链则会执行正常的游戏主程序,这也意味着被蒙在鼓里的受害用户是可以游玩自己下载到的游戏的。

图5. 游戏主程序正常启动

 

与此同时,后台启动的脚本加载器Translate.exe在加载恶意脚本后,会每隔5秒使用tasklist和findstr查找steam.exe进程,并通过对内存内容的搜索来寻找 Steam的Token数据。

图6. 木马搜索Steam进程并尝试寻找Token数据

 

木马一旦在设备内存中成功获取到Token后,会进一步根据JWT协议对数据进行解码。最终,将解码后的数据以POST方法回传到其C2服务器中(hxxp://124.220.17.177:6678/aerh.php)。

图7. 解码并推送Token数据

 

分析人员利用CE对Token进行手动定位,验证了该功能的可行性。

图8. 利用CE验证对Token的定位操作

 

之后,我们将定位到的数据依据JWT协议进行解密,其内容如下:

图9. 依据JWT协议解密后的数据

 

根据公开信息,解密出的Token信息中包含了用户的ID、登录令牌、令牌标识符以及各类时间戳及验证信息。而木马作者有可能利用这些信息登录到受害用户的Steam账号中并窃取其虚拟财产。

 

(三)关联分析

经过关联分析,发现有数十款游戏被重新打包加入恶意盗号木马,目前发现的相关游戏如下:

图10. 部分被重新打包加入盗号木马的游戏名

 

通过对360大数据的统计分析,发现受害用户区域分布如下:

图11. 盗号木马受害用户分布

 

三、安全建议

目前360安全产品可对该木马进行有效防御,建议用户:

  1. 保持安全防护软件防护功能开启,并及时更新病毒库;
  2. 避免下载非官方渠道的游戏程序;
  3. 定期更新Steam账号双重验证机制。

 

四、IOCs

HASH

96f9e9985b9831558055b615e2cab8bc7e1175d2

C2

hxxp://124.220.17.177:6678/aerh.php

本文由安全KER小助手原创发布

转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/306013

安全KER - 有思想的安全新媒体

分享到:微信
+13赞
收藏
安全KER小助手
分享到:微信

发表评论

Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全KER All Rights Reserved 京ICP备08010314号-66