期360安全大腦監測到一個steam盜號木馬團伙又開始活躍,該團伙通過群發郵件,利用虛假外掛傳播木馬。木馬被存儲于藍奏網盤中,受害者一旦下載運行木馬,木馬就會在用戶登錄steam游戲平臺時竊取賬號,并且該木馬還會利用受害者當前機器登錄的QQ賬號進一步群發垃圾郵件,傳播木馬。
1、 傳播手段
下圖是通過群郵件進行傳播的包含有該類盜號木馬的內容,
雖然郵件系統已經提示疑似垃圾郵件,但郵件標題并沒有進行合適處理,對該類"蠕蟲式"傳播的垃圾郵件,攔截效果也大打折扣。盜號木馬存放的下載鏈接后綴均使用極具迷惑性的首字母拼音命名,例如:
hxxps://www.lanzous.com/bx
hxxps://www.lanzous.com/Xdy
頁面內容也極具迷惑性,一般用戶很容易點擊下載。
木馬作者為了誘使受害者運行盜號木馬,會將木馬程序命名為"第一步xxx"、"點我破解"、"啟動器"等名稱。而為了讓受害者不起疑心,木馬作者將從網上獲取到的一些外掛程序或正常軟件命名為"第二步xxx" 或"破解后xxx"等等,這里以其中的一個為例進行分析,如下圖所示:
2、 竊取steam賬號
盜號木馬運行后通過窗口覆蓋的方式,偽造steam登陸窗體賬號名稱、密碼、登陸三個控件,從而獲取受害者steam登陸器界面輸入的賬號與密碼,
當受害者完成輸入點擊假登錄按鈕后,其輸入的賬號密碼被上傳到盜號者的服務器上。
服務器上存儲的已經被竊取的賬號密碼:
同時,為了突破steam的賬戶安全策略,盜號木馬還會上傳受害者本機的機器驗證的相關文件:
3、 群郵件傳播
為了進一步擴大木馬的傳播,木馬還加入了"QQ群蠕蟲"的傳播功能。盜號木馬會嘗試獲取,聊天工具本地驗證接口返回的clientkey,
通過clientkey獲得群郵件接口的訪問權限,
之后通過構造類似下圖的郵件內容,利用受害者聊天賬號進行發布,所以一旦一個QQ用戶中招,就會利用受害者的QQ再次群發該木馬,傳播范圍將會進一步擴大。
4、 威脅情況與攔截
根據360安全大腦對該木馬回傳信息所使用的域名進行統計。該木馬于1月下旬出現,并在1月底和2月上旬分別出現過兩次小高峰。
對于Steam粘蟲木馬360安全衛士無需升級,可直接對該木馬進行攔截。
· 安全建議:
做到如下幾點可有效避免自身賬號被盜,
1. 安裝具有steam賬號保護功能的360安全衛士,預防被盜號
2. 謹慎使用外掛,尤其是已經被殺毒軟件攔截的外掛
3. 不要隨意打開游戲玩家發來的鏈接、文件,這些東西很有可能是釣魚鏈接或者盜號木馬。
4. 開通手機令牌,發現異常,及時更改密碼
5. 給自己的郵箱設一個可靠點的密碼。
6. 用公共場所的電腦上網時,不要輸入自己的敏感信息。
· IOC
hxxp://www.flkk918.com
hxxp://
hxxp://
hxxp://www.ob718.com
hxxp://www.laopohehe.top
hxxps://www.lanzous.com/LOL
hxxps://www.lanzous.com/bx
hxxps://www.lanzous.com/mm
hxxps://www.lanzous.com/Uu
hxxps://www.lanzous.com/uu
hxxps://www.lanzous.com/s/pjjsq
hxxps://www.lanzous.com/bx
hxxps://www.lanzous.com/xdy
hxxps://www.lanzous.com/Xdy
ada5d97fe0d93972128f8ed971e93f6a
03bd3039af119f4a2c37358eba31b709
天都市報6月14日訊(記者梁傳松 通訊員王佳 葉偉)黃石一會計在企業QQ群按“老總”要求,匯款48萬元,沒想到卻是騙子精心設下的局。黃石警方順藤摸瓜,搗毀一個以“網上出售木馬病毒、盜號、詐騙一條龍”黑色產業鏈。
6月14日,黃石市公安局通報,在省公安廳的支持下,該局成功偵破一起網絡詐騙案,抓獲犯罪嫌疑人15人。
今年1月16日,黃石警方獲悉,有人在網上大肆販賣一種叫“QQ黏蟲”的木馬病毒。經驗告訴民警,這很可能是一條黑色產業鏈的源頭。
隨后,黃石市公安局網絡安全保衛支隊民警迅速開展深入調查,于次日在遼寧省鞍山市一小區內,成功抓獲該木馬病毒制作者鄒某。
警方查明,2017年3月開始,鄒某租用服務器建立網站,在網上販賣其編寫的QQ木馬盜號軟件,供付費會員下載。會員在繳納每月1100元的租用費后,獲取該木馬的使用權限,然后在網上尋找特定目標種植木馬。
目標電腦被“種馬”后,該電腦使用的QQ賬號、密碼會上傳至鄒某的網站管理平臺,供QQ盜號者取用。
在不到一年的時間里,鄒某發展下線會員100余人,致全國范圍內大量QQ賬號、密碼被盜,共非法牟利20余萬元。
“小陳,你把48萬元保證金打到跟我們有業務來往的李總的公司。”4月15日上午,黃石某企業財務人員龍某接到了“老總”的QQ指令。
在此之前,龍某被拉進一個“企業交流群”。在群里,龍某看到自己的“老總”也在群內。 不久,“老總”通過私聊告訴龍某,他剛剛談了一筆合同,對方已把保證金匯給自己,為了證實自己說的不錯,“老總”還發了一張自己已經收到匯款的截圖,后續的情況要龍某關注。
之后,“老總”稱因為合同出了點問題,讓龍某把48萬元保證金退還。龍某隨后將48萬元轉到“老總”提供的賬戶。
第二天,龍某碰到該企業負責人時,告知其已辦理退還保證金一事,這才發現所謂的“企業交流群”和“老總”都是騙子精心設下的騙局。
接警后,黃石市公安局迅速成立專案組,通過調查,發現是鄒某販賣的會員所為。
通過調查,辦案組奔赴廣西省賓陽縣及天等縣展開行動。通過全面摸排,警方查清了躲藏在賓陽縣和天等縣的3個利用木馬程序進行QQ盜號,實施網絡詐騙的犯罪團伙。
4月17日,犯罪嫌疑人陸某等9人在天等縣落網;李某等5人在賓陽被抓獲;5月23日,民警在廣西賓陽將磨某抓獲。
辦案民警彭星桓介紹,騙子一般情況下會事先在目標企業網站上搜集信息,然后找到財務人員的QQ實施盜號,再把自己的QQ更換成跟老板一模一樣的昵稱和頭像,傳遞一個類似財務報表的文件,而木馬早已植入其中。一旦財務人員接收文件點擊運行,就會彈出假的QQ“重新登錄”窗口,誘導其輸入自己的賬號和密碼,然后將其發送到木馬作者搭建的服務器上。公司財務人員的QQ賬號、密碼信息被盜取后,假老板就開始發號指令,實施詐騙。
目前,黃石警方已查明陸某、李某等團伙盜取QQ號碼5萬余個,實施網絡電信詐騙28起,詐騙金額累計126萬余元。
案件還在進一步偵辦中。
源:法制日報
原標題 黃石警方披露嫌疑人非法獲取計算機數據伎倆
網絡黑客編寫木馬病毒發展付費“會員”,“會員”利用木馬病毒盜取他人QQ賬號密碼實施詐騙……
《法制日報》記者近日從湖北省公安廳獲悉,歷時4個月,湖北省黃石市公安局成功偵破部督非法獲取計算機信息系統數據案,抓獲犯罪嫌疑人16名,搗毀利用木馬病毒“QQ黏蟲”實施網絡電信詐騙的團伙窩點3個,帶破網絡電信詐騙案28起,斬斷一條完整的網絡犯罪鏈條。
木馬病毒竊取用戶信息
今年1月,黃石警方獲悉,有人在網上大肆販賣名叫“QQ黏蟲”的木馬病毒,初步判斷這很可能是一條網上黑色產業鏈條的源頭。
通過線索分析研判,黃石市公安局網安支隊民警鎖定犯罪嫌疑人位于遼寧省鞍山市某小區內的藏匿地點,并于1月17日將其抓獲。
經查,犯罪嫌疑人鄒某中專畢業后,出于個人興趣自學了網絡編程技術。2017年3月,鄒某租用服務器建立網站,在網站上販賣其編寫的QQ木馬盜號軟件,供網站付費會員下載。
辦案民警介紹,“會員”每月交納一定租賃費用后,即可獲取該木馬的控制權限,再通過網絡尋找特定目標對象種植木馬。
目標電腦感染木馬病毒后,會彈出與騰訊QQ登錄界面十分相似的彈窗,誘導用戶輸入賬號密號。用戶重新輸入賬號密碼的同時,相關信息同步被上傳至鄒某的網站管理平臺,“會員”可通過此平臺查詢選用。
短短1年時間,鄒某累計發展“會員”百余人,非法牟利達20余萬元,大量QQ賬號密碼信息因此泄露。
利用用戶信息實施詐騙
隨著調查的深入,黃石警方發現,鄒某的落網僅僅掀開了黑色產業鏈條的一角,隨即將案情上報。
獲悉情況,湖北省公安廳從武漢、襄陽、咸寧、潛江等地抽調精干力量,與黃石警方一起對該案獲取的數據進行分析研判,最終摸排出多個借助盜取QQ賬號密碼實施網絡詐騙團伙。
黃石市公安局成立了以市公安局黨委委員、副局長江智開為組長的專案組,全力開展案件偵查工作。由鄒某一案衍生出的侵害公民信息、網絡詐騙犯罪成為警方深挖重點。
鎖定嫌疑詐騙團伙集中位于廣西后,今年1月,湖北省公安廳網安總隊副支隊長王志勇帶領專案組民警趕赴廣西,針對各銀行網點開展工作。
經過全面摸排,警方查清了藏匿于廣西南寧賓陽市和廣西崇左市天等縣的3個利用木馬程序實施網絡詐騙團伙,摸清分別以陸某兄弟、李某兄弟、覃某等人為首的團伙組織架構、人員情況、分布地點、活動規律。
不過,涉案團伙作案窩點變換頻繁、作案地點地形復雜,警方抓捕行動一度受阻。
起底黑色利益鏈條
經過反復權衡,專案組最終鎖定了所有涉案團伙窩點,決定于4月11日對以陸某為首的團伙成員實施抓捕。
行動當日13時許,在廣西警方協助下,專案組民警首先在廣西崇左市天等縣展開行動,于一出租房內現場抓獲陸某等9名犯罪嫌疑人,查獲扣押大量電腦、手機、銀行卡等作案工具。
首戰告捷后,民警立即趕到廣西南寧賓陽市開展工作。
4月17日上午,在賓陽市一民房內,警方又分別抓獲犯罪嫌疑人李某兄弟等5人,查獲并扣押大量作案電腦、手機、銀行卡,將全部犯罪嫌疑人押解回黃石市。
5月23日,專案組在廣西賓陽市抓獲犯罪嫌疑人磨某某,帶破一起涉案金額達48萬元的詐騙案。
《法制日報》記者了解到,警方現已初步查明陸某、李某兄弟等人通過租賃鄒某所編寫的“QQ黏蟲”木馬病毒軟件累計盜取他人QQ號碼1800余個,實施網絡電信詐騙案件28起,涉案金額達170余萬元。
目前,涉案16名犯罪嫌疑人已被刑拘。此案仍在進一步深挖中。(記者劉志月 《法制與新聞》見習記者 何正鑫)