理想下载站 手游攻略 新游动态 火融安全警报:方正集团子公司签名疑似遭黑客泄露 涉嫌窃取Steam账号警报安全教育宣传片

火融安全警报:方正集团子公司签名疑似遭黑客泄露 涉嫌窃取Steam账号警报安全教育宣传片

时间:2024-07-02 07:18:38 来源:网络整理 浏览:0

一、概述

日前,火融安全团队发出警报,火融工程师拦截了下载器病毒Apametheus,该病毒入侵电脑后会下载多个病毒模块,病毒模块运行后会窃取Steam账号并劫持用户QQ临时登录权限,强行添加QQ好友、转发空间,传播违法信息。

经技术追溯,发现该病毒带有“北京方正阿帕比科技有限公司”(北大方正子公司)的数字签名:“北京方正阿帕比科技有限公司”,以躲避安全软件的拦截和检测。怀疑该签名泄露被黑客团伙利用,建议公司尽快调查。

最新版本的“火绒产品(个人版、企业版)”可以对该病毒进行检测和查杀。

2. 样本分析

近日,火融网截获一份带有北大方正集团有限公司子公司“北京方正阿帕比科技有限公司”(北京方正阿帕比科技有限公司)签名的病毒文件,且该病毒数字签名可验证。如下图所示:

病毒数字签名

病毒数字签名

病毒数字签名

病毒运行后会访问C&C服务器下载下载器病毒(Linking.exe和calc.exe)在本地执行,运行后启动svchost.exe进程进行注入,注入的svchost.exe进程会执行不同的恶意代码逻辑,恶意代码逻辑包括:窃取steam账号、利用本地会话劫持强行添加QQ好友、转发QQ空间日志等。病毒执行恶意行为后的进程树状态如下图所示:

病毒执行后的进程树

窃取 Steam 账户

病毒会不断搜索Steam登录窗口,一旦找到Steam登录窗口,就会释放cuic.dll,并将动态库注入steam.exe进程中,相关代码逻辑如下图所示:

警报安全教育宣传片_安全警报_警报安全警示片

注入 steam.exe

注入的恶意代码(cuic.dll)会先循环检查SteamUI.dll是否加载成功,若加载成功则通过获取控制数据来获取用户登录信息。如下图所示:

SteamUI.dll的循环检测

对比控件名称相关代码,如下图:

比较 Steam_GetTwoFactorCode_EnterCode 控件名称

恶意代码相关数据,如下图所示:

恶意代码相关数据

强制QQ好友升级

该部分病毒代码执行后会通过本地QQ快捷登录信息获取临时登录凭证劫持会话,然后强行使用用户的QQ添加指定QQ好友及强行转发QQ空间日志,相关代码如下图所示:

强制添加QQ好友

强制转发QQ空间日志相关代码,如下图:

强制转发QQ空间日志

3. 附录

示例 SHA256:

标题:火融安全警报:方正集团子公司签名疑似遭黑客泄露 涉嫌窃取Steam账号警报安全教育宣传片
链接:https://www.ltthb.com/news/xydt/121905.html
版权:文章转载自网络,如有侵权,请联系删除!
资讯推荐
更多
ToonMe怎么取消自动续费?自动续费关闭方法

ToonMe怎么取消自动续费?自动续费关闭方法[多图],ToonMe中的迪士尼滤镜很火爆,有不少小伙伴都喜欢,不过在使用

2024-07-02
航海王热血航线藏宝图位置在哪?全部藏宝图位置坐标大全

航海王热血航线藏宝图位置在哪?全部藏宝图位置坐标大全[多图],航海王热血航线藏宝图在哪里?怎么样才能找到藏

2024-07-02
cf手游云悠悠角色怎么获得?云悠悠什么时候上线

cf手游云悠悠角色怎么获得?云悠悠什么时候上线[多图],cf手游云悠悠角色什么时候出?云悠悠角色获得的方法是什

2024-07-02
英雄联盟联动优衣库活动详情一览:LOL联动优衣库T恤购买地址入口

英雄联盟联动优衣库活动详情一览:LOL联动优衣库T恤购买地址入口[多图],英雄联盟联动优衣库T恤衫什么时候发售

2024-07-02