疑似方正集团子公司签名泄露,遭黑客利用盗取Steam账号

如下图所示:

病毒运行后经由过程造访C&C办事器下载下载器病毒(Linking.exe和calc.exe)至本地履行,运行后会启动svchost.exe进程进行注入,被注入svchost.exe进程分手会履行不合的恶意代码逻辑

日前,火绒安然团队发出警报,火绒工程师截获下载器病毒Apametheus,该病毒入侵电脑后会下载多个病毒模块,病毒模块运行后,将窃取steam账号,同时挟制用户QQ临时登录权限,强行添加QQ石友、转发空间,分布违法信息

一、概述

经由过程技巧溯源发明,该病毒带有”北京梗直阿帕比技巧有限公司”(北大年夜梗直子公司)的数字署名:”Beijing Founder Apabi Technology Limited” ,以躲避安然软件的拦截查杀,疑似为署名泄露被黑客团伙使用,建议该公司尽快排查

二、样本分析

近期,火绒截获到病毒文件带有”Beijing Founder Apabi Technology Limited”署名(北京梗直阿帕比技巧有限公司),系北大年夜梗直集团有限公司子公司,病毒数字署名可以验证经由过程恶意代码逻辑分手包括:窃取steam账号、使用本地会话挟制强行添加QQ石友和转发QQ空间日志病毒履行恶意行径后进程树状态,如下图所示:

窃取steam账号

病毒会赓续搜索steam登录窗口,当搜索到steam登录窗口后,开释cuic.dll并将该动态库注入到steam.exe进程中相关代码逻辑,如下图所示:

被注入的恶意代码(cuic.dll),首先会轮回检测SteamUI.dll是否已经成功加载假如成功加载,则会经由过程获取控件数据的措施获取用户登录信息如下图所示:

对照控件名称相关代码,如下图所示:

恶意代码相关数据,如下图所示:

强行QQ石友推广

该部分病毒代码履行后,会经由过程本地的QQ快捷登录信息获取临时登录凭据进行会话挟制,之后强行应用用户QQ履行添加指定QQ石友、强行转发QQ空间日志相关代码,如下图所示:

强行转发QQ空间日志相关代码,如下图所示:

三、附录

样本SHA256:

赞(0) 打赏
分享到: 更多 (0)
免责申明:本站所有资料均来自于网络,版权归原创者所有!本站不提供任何保证,不保证真实性,并不承担任何法律责任

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

阿里云优惠网 更专业 更优惠

阿里云优惠券阿里云大礼包