前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >火绒安全警报:疑似方正集团子公司签名泄露 遭黑客利用盗取Steam账号

火绒安全警报:疑似方正集团子公司签名泄露 遭黑客利用盗取Steam账号

作者头像
用户6477171
修改2024-04-22 17:21:08
7340
修改2024-04-22 17:21:08
举报
文章被收录于专栏:用户6477171的专栏

一、 概述

日前,火绒安全团队发出警报,火绒工程师截获下载器病毒Apametheus,该病毒入侵电脑后会下载多个病毒模块,病毒模块运行后,将盗取Steam账号,同时劫持用户QQ临时登录权限,强行添加QQ好友、转发空间,散播违法信息。

通过技术溯源发现,该病毒带有“北京方正阿帕比技术有限公司”(北大方正子公司)的数字签名:“Beijing Founder Apabi Technology Limited” ,以躲避安全软件的拦截查杀,疑似为签名泄露被黑客团伙利用,建议该公司尽快排查。

“火绒产品(个人版、企业版)”最新版即可查杀该病毒。

二、 样本分析

近期,火绒截获到病毒文件带有“Beijing Founder Apabi Technology Limited”签名(北京方正阿帕比技术有限公司),系北大方正集团有限公司子公司,病毒数字签名可以验证通过。如下图所示:

病毒数字签名

病毒数字签名

病毒数字签名

病毒运行后通过访问C&C服务器下载下载器病毒(Linking.exe和calc.exe)至本地执行,运行后会启动svchost.exe进程进行注入,被注入svchost.exe进程分别会执行不同的恶意代码逻辑。恶意代码逻辑分别包括:盗取steam账号、利用本地会话劫持强行添加QQ好友和转发QQ空间日志。病毒执行恶意行为后进程树状态,如下图所示:

病毒执行后进程树

盗取Steam账号

病毒会不断搜索Steam登录窗口,当搜索到steam登录窗口后,释放cuic.dll并将该动态库注入到steam.exe进程中。相关代码逻辑,如下图所示:

注入steam.exe

被注入的恶意代码(cuic.dll),首先会循环检测SteamUI.dll是否已经成功加载。如果成功加载,则会通过获取控件数据的方法获取用户登录信息。如下图所示:

循环检测SteamUI.dll

比较控件名称相关代码,如下图所示:

比较Steam_GetTwoFactorCode_EnterCode控件名称

恶意代码相关数据,如下图所示:

恶意代码相关数据

强行QQ好友推广

该部分病毒代码执行后,会通过本地的QQ快捷登录信息获取临时登录凭证进行会话劫持,之后强行使用用户QQ执行添加指定QQ好友、强行转发QQ空间日志。相关代码,如下图所示:

强行添加QQ好友

强行转发QQ空间日志相关代码,如下图所示:

强行转发QQ空间日志

三、 附录

样本SHA256:

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2018-09-13,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 火绒安全实验室 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
相关产品与服务
访问管理
访问管理(Cloud Access Management,CAM)可以帮助您安全、便捷地管理对腾讯云服务和资源的访问。您可以使用CAM创建子用户、用户组和角色,并通过策略控制其访问范围。CAM支持用户和角色SSO能力,您可以根据具体管理场景针对性设置企业内用户和腾讯云的互通能力。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档