文章来源:
360安全卫士,ID:
safe360i
在游戏的世界里,棋牌类游戏以其独特的魅力深受越来越多的玩家喜爱,而当玩家们准备大笔一挥、酣畅淋漓地氪金充值打游戏时,殊不知钱包早已被邪魅的眼睛盯上……
近期,
360安全大脑
监测发现一批通过搜索引擎广告位进行大量传播的游戏盗号木马,该木马瞄准“1378棋牌游戏”和“850棋牌游戏”的用户群体进行盗号,一旦用户号码被盗,“虚拟财产”将遭受难以估计的损失,360安全大脑对此进行了深入的追踪和拦截查杀。
搜索引擎+贴吧广告
虚假链接盗取玩家游戏金币
要说,现在的盗号木马可谓是胆大包天、猖獗成性,竟公然以搜索引擎广告位的形式进行疯狂盗号、掠币。
当我们在搜索引擎中搜索关键字“1378”和“850”时,便发现其第一二位的搜索结果已被钓鱼网站以广告位形式占据。
由于二者是同一域名,360安全专家以“1378”为例深入溯源分析,继续点击“1378”广告进入网站,发现这个钓鱼网站里的所有网页链接竟然都指向同一个URL: hxxp://1378.hongfeixue.cn/1378game.exe,唯一目的也昭然若揭:引诱玩家下载他们的钓鱼客户端。
继续查看搜索引擎的检索结果,发现不仅钓鱼网站,“1378贴吧”也存在大量盗号木马的广告链接,有的甚至“霸占”贴吧最显眼的置顶位置,让搜索引擎广告位的钓鱼效果进一步凸显。
在贴吧中,通过翻看“1378”用户群体所讨论的一些信息,可以让我们一窥这条黑色产业链的利润所暴露出的冰山一角。
首先,该盗号木马通过广告投放吸引了一大批氪金玩家,大额充值游戏,不少中招用户反馈损失金额动辄上千至几万、十几万,盗号木马牟取暴利起来,简直是疯狂。
其次,在贴吧讨论中,我们发现似乎还有一类专门倒卖“虚拟金币”的代理被称呼为“银商”,顺带提一句,除了木马盗取游戏币,事实上不少玩家通过这种不可靠的渠道充值,同样也被骗取钱财。
接着,所谓广撒网,多赚钱,类似这种钓鱼网站的攻击和传播由来已久,作案团伙早已制作了大量的钓鱼页面来运作此类黑色产业,下图是360安全大脑追踪发现到的其他钓鱼网站的留存:
霸道横行
也难逃被揭穿“真面目”的命运
纵使盗号木马如何霸道横行、顶风作案,终将难逃360安全大脑对其的追踪和查杀拦截。鉴于“1378钓鱼模块”和“850钓鱼模块”手法基本一致,360安全专家以“1378棋牌游戏”为例,剖析该盗号木马的工作流程。
当用户点击桌面图标时,首先是autoupdate.exe启动,接着动态加载木马模块D3DX9_4*.DLL,这时木马模块检测到主模块名为autoupdate.exe将进行持久化的流程,阻止木马模块被游戏原本的更新检查替换掉。
当autoupdate.exe更新完毕之后,系统便会启动游戏主程序1378GameCenter.exe,这时D3DX9_4*.DLL将展开真正的盗号行为。不过在此之前,值得一提的是整个木马模块的代码书写风格很是严谨,错误检查和异常处理都做的非常到位。很显然,这不是什么新手上路,而是有组织有计划的花了大功夫打造出来的木马模块。如下图所示,判断当前主模块名为1378GameCenter.exe之后便会展开行为。
接着DoWork函数内创建了数个线程,并进行了多处HOOK,但是其中最为关键的是对棋牌游戏的模块WHSocket.dll进行HOOK,这一处HOOK可以让木马作者直接获取到用户的帐号名以及密码的MD5。
如下图所示,输入测试用的帐号密码并登陆,可以成功获取到我们用于测试的帐号名称和密码的MD5。
360
安全大脑打假查杀:
氪金保险杠,游戏更安心
由于在线棋牌游戏受众广泛且其中涉及到的潜在利润巨大,棋牌游戏成为目前钓鱼高发区。今年年初,
360安全大脑
就有监测发现针对“集结号”棋牌游戏的用户群体进行盗号的木马,该木马同样采取通过搜索引擎广告位的形式进行传播。此次针对“1378”和“850”棋牌类游戏的盗号,实则换汤不换药,换瓶不换酒。
针对此类钓鱼,360安全大脑见招拆招,已进行了专项查杀,并建议广大玩家用户:
1. 选择通过官方、安全的下载渠道来安装游戏,谨慎使用来历不明的游戏客户端或游戏外挂,防止遭受损失;
2. 安装
360安全卫士
(下载地址:
weishi.360.cn
),能及时拦截查杀木马,避免沦为棋牌游戏木马的受害者;
3. 开启
360安全卫士“网页安全防护”
功能,辨别各类虚假诈骗网页,拦截钓鱼网站、危险链接,保障计算机信息安全。
附录
