想不到吧，現(xiàn)在的盜號(hào)木馬都開始用搜索引擎打廣告了。

在某搜索引擎中直接搜索“集結(jié)號(hào)”，搜索結(jié)果中有一定的頻率會(huì)在前兩條中出現(xiàn)帶廣告標(biāo)記的非官方“集結(jié)號(hào)”游戲的網(wǎng)址。 

直接點(diǎn)擊打開第一條網(wǎng)址，進(jìn)入該網(wǎng)站，看到頁(yè)面做的很逼真，高仿正規(guī)棋牌游戲網(wǎng)站，實(shí)際上點(diǎn)擊任意按鈕卻會(huì)彈出同一個(gè)下載地址如下所示，下載的文件即是包含盜號(hào)木馬的“集結(jié)號(hào)”游戲安裝包。

 

除了直接在搜索引擎中輸入“集結(jié)號(hào)”外，測(cè)試過程發(fā)現(xiàn)搜索“集結(jié)號(hào)吧”卻可以穩(wěn)定在第一條搜索記錄里看到上述木馬釣魚網(wǎng)址。 

然而避開該記錄點(diǎn)擊進(jìn)入第二條真正的“集結(jié)號(hào)吧”網(wǎng)址后，發(fā)現(xiàn)這條誘導(dǎo)廣告還是緊隨而至，標(biāo)題寫著“正版下載集結(jié)號(hào)”，打開后卻依然是那個(gè)釣魚網(wǎng)站。 

再次忽略這條廣告，查看貼吧里的內(nèi)容可以了解到一些“集結(jié)號(hào)”相關(guān)的行情。首先關(guān)注到這類棋牌游戲還是有不少用戶在玩，并且似乎很容易上癮，甚至很多用戶都是往里面充了不少錢，以下帖子為某用戶的吐槽： 

接著發(fā)現(xiàn)貼吧里不少用戶在反饋這個(gè)行業(yè)里經(jīng)常被騙，似乎有一類專門倒賣“虛擬金幣”的代理被稱呼為“銀商”，很多用戶通過不可靠的渠道找他們充值結(jié)果被騙了。

最后還關(guān)注到了，有用戶在貼吧里反饋?zhàn)约旱馁~戶無故被盜，虛擬金幣被偷走，再次印證了這個(gè)圈子里面的亂象叢生。

實(shí)際上，此類釣魚網(wǎng)站的傳播和攔截實(shí)際上由來已久，作案團(tuán)伙制做了大量的釣魚頁(yè)面來進(jìn)行這種黑色產(chǎn)業(yè)，下圖所示是從部分釣魚網(wǎng)址提取的子域名前綴和主域名兩個(gè)部分，作案特征相對(duì)比較明顯。

【圖片來源：360】

木馬分析

根據(jù)360安全大腦監(jiān)測(cè)，這款通過搜索引擎廣告位進(jìn)行大量傳播的游戲盜號(hào)木馬對(duì)用戶的“虛擬財(cái)產(chǎn)”可能造成一大波損失。這里以上述被推廣的釣魚網(wǎng)站下載的游戲安裝包為例分析了盜號(hào)木馬的工作流程。

下載的安裝包是將官方的“集結(jié)號(hào)”游戲模塊重新打包，捆綁自己的惡意模塊，直接提取文件發(fā)現(xiàn)需要密碼：

捆綁的惡意模塊如下，這些模塊是否安裝釋放要根據(jù)指定的“checkP1”函數(shù)進(jìn)行判斷：

“checkP1”函數(shù)的判斷比較簡(jiǎn)單，通過執(zhí)行一個(gè)WBEMScripting腳本查詢進(jìn)程列表中是否有“vmtoolsd.exe”來檢測(cè)虛擬機(jī)，若該安裝包是在vm虛擬機(jī)中運(yùn)行的則不會(huì)釋放惡意模塊。

在真實(shí)的環(huán)境中進(jìn)行安裝測(cè)試，安裝完成后將自動(dòng)運(yùn)行“cxrdo.exe”程序來啟動(dòng)惡意模塊“l(fā)ibcef.dll”，此過程是一例“白加黑”的利用。

惡意模塊“l(fā)ibcef.dll”啟動(dòng)后，聯(lián)網(wǎng)下載“update.xml”配置列表，其中包含三個(gè)工作模塊的文件名和hash值，用于替換“集結(jié)號(hào)”安裝目錄下的程序模塊，保證啟動(dòng)的游戲能夠加載惡意代碼。

三個(gè)工作模塊中，“AutoUpdateCHS.dll”用于劫持“集結(jié)號(hào)”游戲啟動(dòng)過程中自動(dòng)運(yùn)行的更新程序“AutoUpdate.exe”，主要工作是聯(lián)網(wǎng)下載“GamePlaza.xml”配置列表，負(fù)責(zé)更新棋牌游戲的模塊，保證游戲能夠穩(wěn)定的運(yùn)行并包含惡意代碼。

另外兩個(gè)工作模塊“Voice.dll”和“Mfc71.dll”也算是一例“白加黑”的利用，棋牌游戲的主程序“GamePlaza.exe”在啟動(dòng)過程中會(huì)自動(dòng)導(dǎo)入“Mfc71.dll”這個(gè)運(yùn)行庫(kù)，但該庫(kù)又引入了“Voice.dll”模塊，最終惡意模塊“Voice.dll”將在游戲啟動(dòng)時(shí)自動(dòng)加載來進(jìn)行盜號(hào)的任務(wù)。

惡意模塊“Voice.dll”為此盜號(hào)木馬最核心的功能模塊，其中包含大量的代碼混淆處理來對(duì)抗分析。調(diào)試過程中發(fā)現(xiàn)，該模塊對(duì)“集結(jié)號(hào)”游戲啟動(dòng)過程中加載的多個(gè)程序模塊做了hook操作，如“GamePlaza.exe”、“ChannelModule.dll”等，但實(shí)際盜號(hào)過程中并沒有執(zhí)行到，猜測(cè)是以前使用的盜號(hào)方式?jīng)]有去掉。

游戲剛啟動(dòng)時(shí)，惡意模塊往C&C服務(wù)器“111.230.126.189:5712”發(fā)送加密上線包，服務(wù)端則返回一條加密控制信息，其中包含“集結(jié)號(hào)”的登錄服務(wù)器地址信息，這些登錄服務(wù)器是對(duì)應(yīng)顯示在游戲登錄窗口的服務(wù)器列表，實(shí)則由木馬作者動(dòng)態(tài)控制，也就是說用戶登錄步驟完全被木馬程序劫持了。

當(dāng)用戶輸入賬號(hào)密碼點(diǎn)擊登錄后，則登錄驗(yàn)證會(huì)先經(jīng)過上述動(dòng)態(tài)控制的登錄服務(wù)器來遠(yuǎn)程驗(yàn)證賬號(hào)密碼的合法性，若賬號(hào)密碼錯(cuò)誤則彈出提示，賬號(hào)密碼正確則進(jìn)行下一步回傳記錄。

用戶成功登錄后，木馬就將盜取的賬戶密碼等登錄信息以json數(shù)據(jù)格式組織并加密回傳到C&C服務(wù)器，回傳的信息字段如下：

至此，用戶賬戶已經(jīng)被木馬成功盜取，之后用戶可以正常地使用游戲客戶端沒有什么影響，木馬模塊只是接管了官方游戲的登錄流程，從而達(dá)到偷偷盜取用戶賬號(hào)密碼的目的。

對(duì)于游戲氪金玩家來說，要盡量通過官方、安全的下載渠道來安裝游戲，謹(jǐn)慎使用來歷不明的游戲外掛，防止遭受損失。

來源：360核心安全

雷鋒網(wǎng)雷鋒網(wǎng)雷鋒網(wǎng)

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。