期360安全大腦監(jiān)測(cè)到一個(gè)steam盜號(hào)木馬團(tuán)伙又開始活躍,該團(tuán)伙通過群發(fā)郵件,利用虛假外掛傳播木馬。木馬被存儲(chǔ)于藍(lán)奏網(wǎng)盤中,受害者一旦下載運(yùn)行木馬,木馬就會(huì)在用戶登錄steam游戲平臺(tái)時(shí)竊取賬號(hào),并且該木馬還會(huì)利用受害者當(dāng)前機(jī)器登錄的QQ賬號(hào)進(jìn)一步群發(fā)垃圾郵件,傳播木馬。
1、 傳播手段
下圖是通過群郵件進(jìn)行傳播的包含有該類盜號(hào)木馬的內(nèi)容,
雖然郵件系統(tǒng)已經(jīng)提示疑似垃圾郵件,但郵件標(biāo)題并沒有進(jìn)行合適處理,對(duì)該類"蠕蟲式"傳播的垃圾郵件,攔截效果也大打折扣。盜號(hào)木馬存放的下載鏈接后綴均使用極具迷惑性的首字母拼音命名,例如:
hxxps://www.lanzous.com/bx
hxxps://www.lanzous.com/Xdy
頁面內(nèi)容也極具迷惑性,一般用戶很容易點(diǎn)擊下載。
木馬作者為了誘使受害者運(yùn)行盜號(hào)木馬,會(huì)將木馬程序命名為"第一步xxx"、"點(diǎn)我破解"、"啟動(dòng)器"等名稱。而為了讓受害者不起疑心,木馬作者將從網(wǎng)上獲取到的一些外掛程序或正常軟件命名為"第二步xxx" 或"破解后xxx"等等,這里以其中的一個(gè)為例進(jìn)行分析,如下圖所示:
2、 竊取steam賬號(hào)
盜號(hào)木馬運(yùn)行后通過窗口覆蓋的方式,偽造steam登陸窗體賬號(hào)名稱、密碼、登陸三個(gè)控件,從而獲取受害者steam登陸器界面輸入的賬號(hào)與密碼,
當(dāng)受害者完成輸入點(diǎn)擊假登錄按鈕后,其輸入的賬號(hào)密碼被上傳到盜號(hào)者的服務(wù)器上。
服務(wù)器上存儲(chǔ)的已經(jīng)被竊取的賬號(hào)密碼:
同時(shí),為了突破steam的賬戶安全策略,盜號(hào)木馬還會(huì)上傳受害者本機(jī)的機(jī)器驗(yàn)證的相關(guān)文件:
3、 群郵件傳播
為了進(jìn)一步擴(kuò)大木馬的傳播,木馬還加入了"QQ群蠕蟲"的傳播功能。盜號(hào)木馬會(huì)嘗試獲取,聊天工具本地驗(yàn)證接口返回的clientkey,
通過clientkey獲得群郵件接口的訪問權(quán)限,
之后通過構(gòu)造類似下圖的郵件內(nèi)容,利用受害者聊天賬號(hào)進(jìn)行發(fā)布,所以一旦一個(gè)QQ用戶中招,就會(huì)利用受害者的QQ再次群發(fā)該木馬,傳播范圍將會(huì)進(jìn)一步擴(kuò)大。
4、 威脅情況與攔截
根據(jù)360安全大腦對(duì)該木馬回傳信息所使用的域名進(jìn)行統(tǒng)計(jì)。該木馬于1月下旬出現(xiàn),并在1月底和2月上旬分別出現(xiàn)過兩次小高峰。
對(duì)于Steam粘蟲木馬360安全衛(wèi)士無需升級(jí),可直接對(duì)該木馬進(jìn)行攔截。
· 安全建議:
做到如下幾點(diǎn)可有效避免自身賬號(hào)被盜,
1. 安裝具有steam賬號(hào)保護(hù)功能的360安全衛(wèi)士,預(yù)防被盜號(hào)
2. 謹(jǐn)慎使用外掛,尤其是已經(jīng)被殺毒軟件攔截的外掛
3. 不要隨意打開游戲玩家發(fā)來的鏈接、文件,這些東西很有可能是釣魚鏈接或者盜號(hào)木馬。
4. 開通手機(jī)令牌,發(fā)現(xiàn)異常,及時(shí)更改密碼
5. 給自己的郵箱設(shè)一個(gè)可靠點(diǎn)的密碼。
6. 用公共場所的電腦上網(wǎng)時(shí),不要輸入自己的敏感信息。
· IOC
hxxp://www.flkk918.com
hxxp://
hxxp://
hxxp://www.ob718.com
hxxp://www.laopohehe.top
hxxps://www.lanzous.com/LOL
hxxps://www.lanzous.com/bx
hxxps://www.lanzous.com/mm
hxxps://www.lanzous.com/Uu
hxxps://www.lanzous.com/uu
hxxps://www.lanzous.com/s/pjjsq
hxxps://www.lanzous.com/bx
hxxps://www.lanzous.com/xdy
hxxps://www.lanzous.com/Xdy
ada5d97fe0d93972128f8ed971e93f6a
03bd3039af119f4a2c37358eba31b709
天都市報(bào)6月14日訊(記者梁傳松 通訊員王佳 葉偉)黃石一會(huì)計(jì)在企業(yè)QQ群按“老總”要求,匯款48萬元,沒想到卻是騙子精心設(shè)下的局。黃石警方順藤摸瓜,搗毀一個(gè)以“網(wǎng)上出售木馬病毒、盜號(hào)、詐騙一條龍”黑色產(chǎn)業(yè)鏈。
6月14日,黃石市公安局通報(bào),在省公安廳的支持下,該局成功偵破一起網(wǎng)絡(luò)詐騙案,抓獲犯罪嫌疑人15人。
今年1月16日,黃石警方獲悉,有人在網(wǎng)上大肆販賣一種叫“QQ黏蟲”的木馬病毒。經(jīng)驗(yàn)告訴民警,這很可能是一條黑色產(chǎn)業(yè)鏈的源頭。
隨后,黃石市公安局網(wǎng)絡(luò)安全保衛(wèi)支隊(duì)民警迅速開展深入調(diào)查,于次日在遼寧省鞍山市一小區(qū)內(nèi),成功抓獲該木馬病毒制作者鄒某。
警方查明,2017年3月開始,鄒某租用服務(wù)器建立網(wǎng)站,在網(wǎng)上販賣其編寫的QQ木馬盜號(hào)軟件,供付費(fèi)會(huì)員下載。會(huì)員在繳納每月1100元的租用費(fèi)后,獲取該木馬的使用權(quán)限,然后在網(wǎng)上尋找特定目標(biāo)種植木馬。
目標(biāo)電腦被“種馬”后,該電腦使用的QQ賬號(hào)、密碼會(huì)上傳至鄒某的網(wǎng)站管理平臺(tái),供QQ盜號(hào)者取用。
在不到一年的時(shí)間里,鄒某發(fā)展下線會(huì)員100余人,致全國范圍內(nèi)大量QQ賬號(hào)、密碼被盜,共非法牟利20余萬元。
“小陳,你把48萬元保證金打到跟我們有業(yè)務(wù)來往的李總的公司。”4月15日上午,黃石某企業(yè)財(cái)務(wù)人員龍某接到了“老總”的QQ指令。
在此之前,龍某被拉進(jìn)一個(gè)“企業(yè)交流群”。在群里,龍某看到自己的“老總”也在群內(nèi)。 不久,“老總”通過私聊告訴龍某,他剛剛談了一筆合同,對(duì)方已把保證金匯給自己,為了證實(shí)自己說的不錯(cuò),“老總”還發(fā)了一張自己已經(jīng)收到匯款的截圖,后續(xù)的情況要龍某關(guān)注。
之后,“老總”稱因?yàn)楹贤隽它c(diǎn)問題,讓龍某把48萬元保證金退還。龍某隨后將48萬元轉(zhuǎn)到“老總”提供的賬戶。
第二天,龍某碰到該企業(yè)負(fù)責(zé)人時(shí),告知其已辦理退還保證金一事,這才發(fā)現(xiàn)所謂的“企業(yè)交流群”和“老總”都是騙子精心設(shè)下的騙局。
接警后,黃石市公安局迅速成立專案組,通過調(diào)查,發(fā)現(xiàn)是鄒某販賣的會(huì)員所為。
通過調(diào)查,辦案組奔赴廣西省賓陽縣及天等縣展開行動(dòng)。通過全面摸排,警方查清了躲藏在賓陽縣和天等縣的3個(gè)利用木馬程序進(jìn)行QQ盜號(hào),實(shí)施網(wǎng)絡(luò)詐騙的犯罪團(tuán)伙。
4月17日,犯罪嫌疑人陸某等9人在天等縣落網(wǎng);李某等5人在賓陽被抓獲;5月23日,民警在廣西賓陽將磨某抓獲。
辦案民警彭星桓介紹,騙子一般情況下會(huì)事先在目標(biāo)企業(yè)網(wǎng)站上搜集信息,然后找到財(cái)務(wù)人員的QQ實(shí)施盜號(hào),再把自己的QQ更換成跟老板一模一樣的昵稱和頭像,傳遞一個(gè)類似財(cái)務(wù)報(bào)表的文件,而木馬早已植入其中。一旦財(cái)務(wù)人員接收文件點(diǎn)擊運(yùn)行,就會(huì)彈出假的QQ“重新登錄”窗口,誘導(dǎo)其輸入自己的賬號(hào)和密碼,然后將其發(fā)送到木馬作者搭建的服務(wù)器上。公司財(cái)務(wù)人員的QQ賬號(hào)、密碼信息被盜取后,假老板就開始發(fā)號(hào)指令,實(shí)施詐騙。
目前,黃石警方已查明陸某、李某等團(tuán)伙盜取QQ號(hào)碼5萬余個(gè),實(shí)施網(wǎng)絡(luò)電信詐騙28起,詐騙金額累計(jì)126萬余元。
案件還在進(jìn)一步偵辦中。
源:法制日?qǐng)?bào)
原標(biāo)題 黃石警方披露嫌疑人非法獲取計(jì)算機(jī)數(shù)據(jù)伎倆
網(wǎng)絡(luò)黑客編寫木馬病毒發(fā)展付費(fèi)“會(huì)員”,“會(huì)員”利用木馬病毒盜取他人QQ賬號(hào)密碼實(shí)施詐騙……
《法制日?qǐng)?bào)》記者近日從湖北省公安廳獲悉,歷時(shí)4個(gè)月,湖北省黃石市公安局成功偵破部督非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)案,抓獲犯罪嫌疑人16名,搗毀利用木馬病毒“QQ黏蟲”實(shí)施網(wǎng)絡(luò)電信詐騙的團(tuán)伙窩點(diǎn)3個(gè),帶破網(wǎng)絡(luò)電信詐騙案28起,斬?cái)嘁粭l完整的網(wǎng)絡(luò)犯罪鏈條。
木馬病毒竊取用戶信息
今年1月,黃石警方獲悉,有人在網(wǎng)上大肆販賣名叫“QQ黏蟲”的木馬病毒,初步判斷這很可能是一條網(wǎng)上黑色產(chǎn)業(yè)鏈條的源頭。
通過線索分析研判,黃石市公安局網(wǎng)安支隊(duì)民警鎖定犯罪嫌疑人位于遼寧省鞍山市某小區(qū)內(nèi)的藏匿地點(diǎn),并于1月17日將其抓獲。
經(jīng)查,犯罪嫌疑人鄒某中專畢業(yè)后,出于個(gè)人興趣自學(xué)了網(wǎng)絡(luò)編程技術(shù)。2017年3月,鄒某租用服務(wù)器建立網(wǎng)站,在網(wǎng)站上販賣其編寫的QQ木馬盜號(hào)軟件,供網(wǎng)站付費(fèi)會(huì)員下載。
辦案民警介紹,“會(huì)員”每月交納一定租賃費(fèi)用后,即可獲取該木馬的控制權(quán)限,再通過網(wǎng)絡(luò)尋找特定目標(biāo)對(duì)象種植木馬。
目標(biāo)電腦感染木馬病毒后,會(huì)彈出與騰訊QQ登錄界面十分相似的彈窗,誘導(dǎo)用戶輸入賬號(hào)密號(hào)。用戶重新輸入賬號(hào)密碼的同時(shí),相關(guān)信息同步被上傳至鄒某的網(wǎng)站管理平臺(tái),“會(huì)員”可通過此平臺(tái)查詢選用。
短短1年時(shí)間,鄒某累計(jì)發(fā)展“會(huì)員”百余人,非法牟利達(dá)20余萬元,大量QQ賬號(hào)密碼信息因此泄露。
利用用戶信息實(shí)施詐騙
隨著調(diào)查的深入,黃石警方發(fā)現(xiàn),鄒某的落網(wǎng)僅僅掀開了黑色產(chǎn)業(yè)鏈條的一角,隨即將案情上報(bào)。
獲悉情況,湖北省公安廳從武漢、襄陽、咸寧、潛江等地抽調(diào)精干力量,與黃石警方一起對(duì)該案獲取的數(shù)據(jù)進(jìn)行分析研判,最終摸排出多個(gè)借助盜取QQ賬號(hào)密碼實(shí)施網(wǎng)絡(luò)詐騙團(tuán)伙。
黃石市公安局成立了以市公安局黨委委員、副局長江智開為組長的專案組,全力開展案件偵查工作。由鄒某一案衍生出的侵害公民信息、網(wǎng)絡(luò)詐騙犯罪成為警方深挖重點(diǎn)。
鎖定嫌疑詐騙團(tuán)伙集中位于廣西后,今年1月,湖北省公安廳網(wǎng)安總隊(duì)副支隊(duì)長王志勇帶領(lǐng)專案組民警趕赴廣西,針對(duì)各銀行網(wǎng)點(diǎn)開展工作。
經(jīng)過全面摸排,警方查清了藏匿于廣西南寧賓陽市和廣西崇左市天等縣的3個(gè)利用木馬程序?qū)嵤┚W(wǎng)絡(luò)詐騙團(tuán)伙,摸清分別以陸某兄弟、李某兄弟、覃某等人為首的團(tuán)伙組織架構(gòu)、人員情況、分布地點(diǎn)、活動(dòng)規(guī)律。
不過,涉案團(tuán)伙作案窩點(diǎn)變換頻繁、作案地點(diǎn)地形復(fù)雜,警方抓捕行動(dòng)一度受阻。
起底黑色利益鏈條
經(jīng)過反復(fù)權(quán)衡,專案組最終鎖定了所有涉案團(tuán)伙窩點(diǎn),決定于4月11日對(duì)以陸某為首的團(tuán)伙成員實(shí)施抓捕。
行動(dòng)當(dāng)日13時(shí)許,在廣西警方協(xié)助下,專案組民警首先在廣西崇左市天等縣展開行動(dòng),于一出租房內(nèi)現(xiàn)場抓獲陸某等9名犯罪嫌疑人,查獲扣押大量電腦、手機(jī)、銀行卡等作案工具。
首戰(zhàn)告捷后,民警立即趕到廣西南寧賓陽市開展工作。
4月17日上午,在賓陽市一民房內(nèi),警方又分別抓獲犯罪嫌疑人李某兄弟等5人,查獲并扣押大量作案電腦、手機(jī)、銀行卡,將全部犯罪嫌疑人押解回黃石市。
5月23日,專案組在廣西賓陽市抓獲犯罪嫌疑人磨某某,帶破一起涉案金額達(dá)48萬元的詐騙案。
《法制日?qǐng)?bào)》記者了解到,警方現(xiàn)已初步查明陸某、李某兄弟等人通過租賃鄒某所編寫的“QQ黏蟲”木馬病毒軟件累計(jì)盜取他人QQ號(hào)碼1800余個(gè),實(shí)施網(wǎng)絡(luò)電信詐騙案件28起,涉案金額達(dá)170余萬元。
目前,涉案16名犯罪嫌疑人已被刑拘。此案仍在進(jìn)一步深挖中。(記者劉志月 《法制與新聞》見習(xí)記者 何正鑫)