含烟 发表于 2019-2-24 01:30

想不到吧,现在的盗号木马都开始用搜索引擎打广告了

来自 宅客


想不到吧,现在的盗号木马都开始用搜索引擎打广告了。在某搜索引擎中直接搜索“集结号”,搜索结果中有一定的频率会在前两条中出现带广告标记的非官方“集结号”游戏的网址。http://5b0988e595225.cdn.sohucs.com/images/20190224/82118bc624d44b549288078cc541ac3b.jpeg
直接点击打开第一条网址,进入该网站,看到页面做的很逼真,高仿正规棋牌游戏网站,实际上点击任意按钮却会弹出同一个下载地址如下所示,下载的文件即是包含盗号木马的“集结号”游戏安装包。http://5b0988e595225.cdn.sohucs.com/images/20190224/913682204c4144fabe1a506f1115bcd9.jpeg
除了直接在搜索引擎中输入“集结号”外,测试过程发现搜索“集结号吧”却可以稳定在第一条搜索记录里看到上述木马钓鱼网址。http://5b0988e595225.cdn.sohucs.com/images/20190224/2f70286937c24bdcb221d110bfa91079.jpeg
然而避开该记录点击进入第二条真正的“集结号吧”网址后,发现这条诱导广告还是紧随而至,标题写着“正版下载集结号”,打开后却依然是那个钓鱼网站。http://5b0988e595225.cdn.sohucs.com/images/20190224/204584b22ae3492f894b395a83f7368c.jpeg


帝國復興黨

含烟 发表于 2019-2-24 01:30


再次忽略这条广告,查看贴吧里的内容可以了解到一些“集结号”相关的行情。首先关注到这类棋牌游戏还是有不少用户在玩,并且似乎很容易上瘾,甚至很多用户都是往里面充了不少钱,以下帖子为某用户的吐槽:http://5b0988e595225.cdn.sohucs.com/images/20190224/cc2e4df3d6474236ab8724fb15e62b0b.jpeg
接着发现贴吧里不少用户在反馈这个行业里经常被骗,似乎有一类专门倒卖“虚拟金币”的代理被称呼为“银商”,很多用户通过不可靠的渠道找他们充值结果被骗了。http://5b0988e595225.cdn.sohucs.com/images/20190224/9497b63179ed412cb9e23fdffc17832f.jpeg
另外有用户在贴吧里反馈自己的账户无故被盗,虚拟金币被偷走,再次印证了这个圈子里面的乱象丛生。http://5b0988e595225.cdn.sohucs.com/images/20190224/b74166137eea4bef84ed0e9877fc5d83.jpeg
实际上,此类钓鱼网站的传播和拦截实际上由来已久,作案团伙制做了大量的钓鱼页面来进行这种黑色产业,下图所示是从部分钓鱼网址提取的子域名前缀和主域名两个部分,作案特征相对比较明显。

含烟 发表于 2019-2-24 01:31


http://5b0988e595225.cdn.sohucs.com/images/20190224/7a91c0a58d4e48f0bda13809fb330391.jpeg▲图片来源:360木马分析根据360安全大脑监测,这款通过搜索引擎广告位进行大量传播的游戏盗号木马可能对用户的“虚拟财产”可能造成一大波损失。这里以上述被推广的钓鱼网站下载的游戏安装包为例分析了盗号木马的工作流程。http://5b0988e595225.cdn.sohucs.com/images/20190224/37f0d0b522194a64841076a3d470c622.jpeg
下载的安装包是将官方的“集结号”游戏模块重新打包,捆绑自己的恶意模块,直接提取文件发现需要密码:http://5b0988e595225.cdn.sohucs.com/images/20190224/16b6dd3f66cd4d87bdaa10367f9e302e.jpeg
捆绑的恶意模块如下,这些模块是否安装释放要根据指定的“checkP1”函数进行判断:http://5b0988e595225.cdn.sohucs.com/images/20190224/d85156e7d9d04c03b77c5d61f9a90ebe.jpeg
“checkP1”函数的判断比较简单,通过执行一个WBEMing脚本查询进程列表中是否有“vmtoolsd.exe”来检测虚拟机,若该安装包是在vm虚拟机中运行的则不会释放恶意模块。

含烟 发表于 2019-2-24 01:32


http://5b0988e595225.cdn.sohucs.com/images/20190224/776e9c27c23941618bed00b942edcf93.jpeg
在真实的环境中进行安装测试,安装完成后将自动运行“cxrdo.exe”程序来启动恶意模块“libcef.dll”,此过程是一例“白加黑”的利用。http://5b0988e595225.cdn.sohucs.com/images/20190224/e095c0dd675d4359bc122cc1e2554d13.jpeg
恶意模块“libcef.dll”启动后,联网下载“update.xml”配置列表,其中包含三个工作模块的文件名和hash值,用于替换“集结号”安装目录下的程序模块,保证启动的游戏能够加载恶意代码。http://5b0988e595225.cdn.sohucs.com/images/20190224/0d6fbb94cc01468faeaf7dbcf581216e.jpeg
三个工作模块中,“AutoUpdateCHS.dll”用于劫持“集结号”游戏启动过程中自动运行的更新程序“AutoUpdate.exe”,主要工作是联网下载“GamePlaza.xml”配置列表,负责更新棋牌游戏的模块,保证游戏能够稳定的运行并包含恶意代码。

含烟 发表于 2019-2-24 01:33


http://5b0988e595225.cdn.sohucs.com/images/20190224/d99c9e608e9b444684ec978149a017a9.jpeg
另外两个工作模块“Voice.dll”和“Mfc71.dll”也算是一例“白加黑”的利用,棋牌游戏的主程序“GamePlaza.exe”在启动过程中会自动导入“Mfc71.dll”这个运行库,但该库又引入了“Voice.dll”模块,最终恶意模块“Voice.dll”将在游戏启动时自动加载来进行盗号的任务。http://5b0988e595225.cdn.sohucs.com/images/20190224/c4deeb9b42044f22a53ed85a848ee6d6.jpeg
恶意模块“Voice.dll”为此盗号木马最核心的功能模块,其中包含大量的代码混淆处理来对抗分析。调试过程中发现,该模块对“集结号”游戏启动过程中加载的多个程序模块做了hook操作,如“GamePlaza.exe”、“ChannelModule.dll”等,但实际盗号过程中并没有执行到,猜测是以前使用的盗号方式没有去掉。http://5b0988e595225.cdn.sohucs.com/images/20190224/32e7d5ea92f9498b9d0c0aa0f9d022b6.jpeg
游戏刚启动时,恶意模块往C&C服务器“111.230.126.189:5712”发送加密上线包,服务端则返回一条加密控制信息,其中包含“集结号”的登录服务器地址信息,这些登录服务器是对应显示在游戏登录窗口的服务器列表,实则由木马作者动态控制,也就是说用户登录步骤完全被木马程序劫持了。http://5b0988e595225.cdn.sohucs.com/images/20190224/edbb9828b4ac4412926cc65fcda0c33f.jpeg
当用户输入账号密码点击登录后,则登录验证会先经过上述动态控制的登录服务器来远程验证账号密码的合法性,若账号密码错误则弹出提示,账号密码正确则进行下一步回传记录。http://5b0988e595225.cdn.sohucs.com/images/20190224/99a35530069b45baa27d246a0652d095.jpeg
用户成功登录后,木马就将盗取的账户密码等登录信息以json数据格式组织并加密回传到C&C服务器,回传的信息字段如下:http://5b0988e595225.cdn.sohucs.com/images/20190224/46900c74e34841fa987d2c7b1555778f.jpeg
至此,用户账户已经被木马成功盗取,之后用户可以正常地使用游戏客户端没有什么影响,木马模块只是接管了官方游戏的登录流程,从而达到偷偷盗取用户账号密码的目的。对于游戏氪金玩家来说,要尽量通过官方、安全的下载渠道来安装游戏,谨慎使用来历不明的游戏外挂,防止遭受损失。来源:360核心安全

镜子叔叔 发表于 2019-2-24 09:33

{:4_150:}百度已经丧心病狂了……难怪bat三巨头就他掉队了……

朱宝玉 发表于 2019-2-24 14:32

百度应该向全国人民谢罪{:4_110:}

Brouzy 发表于 2019-2-25 00:35

百度的结果都0可信度,不过这类游戏看起来本身就乱.
话说最近360安全真的在用心做事,以前一直瞧不起数字娱乐公司.没想到进步这么大,winrar那个高危漏洞也是他们发布的.

二九结狐六体 发表于 2019-3-1 10:09

winrar那个高危漏洞也是他们发布的.

乔绾酱 发表于 2019-3-1 16:09

感谢楼主分享资源,很不错的

尖兵队 发表于 2019-3-9 16:43

百度应该及时做好安全措施

怂点稳 发表于 2019-3-11 08:48

手机上也是,你搜什么第一个都是假的

eveSky 发表于 2019-3-13 08:31

学习了,被骗了4000网课费

节操司仪 发表于 2019-3-13 10:09

还好我对这类游戏没兴趣。可怕

lex2233 发表于 2019-3-13 10:40

怎么提高威望啊

lex2233 发表于 2019-3-13 10:40

明白了,多发帖子

jackfox 发表于 2019-3-13 11:18

方可成說----"搜索引擎百度已死 "

{:4_118:} 一點也沒錯

lsx00002 发表于 2019-3-13 12:10

百度真的是越来越过分了

zez123333 发表于 2019-3-16 13:02

GOOGLE在研发阿尔法狗,百度再卖假药,都是做搜索的。哎

郁郁积极 发表于 2019-3-16 16:45

这种东西防不胜防,家里还好,网吧重灾区

Bigfish 发表于 2019-3-23 14:41

只能靠自己长心眼。现在点开什么,哎 --

fjlg05301 发表于 2019-3-27 23:11

牛,黑产真牛。

wind_s 发表于 2019-3-28 09:43

百度真的是越来越过分了

xuhao777 发表于 2019-3-28 12:49

人为了赚钱真是无所不能啊

含烟 发表于 2019-4-1 17:04

wind_s 发表于 2019-3-28 09:43
百度真的是越来越过分了

现在就是不能相信百度前三页搜索到的内容

含烟 发表于 2019-4-1 17:05

xuhao777 发表于 2019-3-28 12:49
人为了赚钱真是无所不能啊

确实啊,只要给钱百度什么都敢推广。

Lucienmacmillan 发表于 2019-4-16 00:43

度婊不要脸也不是第一天l

逆天凡凡 发表于 2019-4-16 10:10

黑科技厉害了

fdyjjj 发表于 2019-4-20 23:45

木马一直都在,为了钱什么都愿意。

伊拉555 发表于 2019-5-7 09:18

棋牌赌博这么好玩的吗?
页: [1] 2
查看完整版本: 想不到吧,现在的盗号木马都开始用搜索引擎打广告了