图16. 类似广告内容
火爆的Steam盗号
自"绝地求生"在国内爆红之后,针对Steam的盗号产业链发展得可谓异常迅猛,不只这一款辅助,我们还发现了大量各种针对steam的盗号攻击。
号码如何被盗?
目前流行的盗号方式大体可分为三类:
1. 钓鱼页面,骗取账号密码
通过伪装成相似度极高的"活动页面"诱骗受害者输入账号密码来领取所谓的"礼包"或"CDKEY",而一旦输入这些信息,信息便会被发送到盗号者的"箱子"中存储起来,后续被打包转卖或者洗劫。
图17. 伪造的Steam钓鱼页面
2. 曲线救国,利用账号找回功能盗取账号
账号找回功能是指在用户一旦忘记原有密码时,平台方通过其预先绑定的邮箱地址发送"凭证",用户以此即可重置其密码。一般来说,此类功能的设计原则,是基于认为账号所使用的注册邮箱持有者是可信的——即,能查看注册邮箱内容的人,可以被信任为就是账号主人本人。但由于腾讯本地统一认证接口的存在,以上这一套信任逻辑就变得不再可靠。
图18. Steam平台发送的密码重置凭证
腾讯所提供的这套接口,本身是为了方便用户登录其全线产品所设计的一套机制。但由于没有对调用者进行校验,所以任何在用户计算机中运行的程序都可以调用从而拿到SKey(认证Token),如果用户使用了QQ邮箱绑定其Steam账号,那攻击者通过在Steam平台主动发起"密码找回",之后通过Skey在受害者的邮箱中取到"凭证"从而重置密码,更进一步可以修改掉受害者的Steam绑定邮箱,使得受害者无法再找回其账号。
常见的有以"XX变声器"、"XX加速器"命名的"撸号器",通过聊天工具、邮箱方式进行传播。
图19. 通过邮箱传播的Steam撸号器
3. 对登录器下手,直接获取账号密码
前文所述的"CF活动助手"即为以"DLL劫持"方式注入Steam登录程序,通过hook相应的控件处理逻辑从而偷取受害者登录账号及密码,而这种方式非常隐蔽,受害者一时很难察觉,同时也存在盗号器以"远线程"注入方式盗取受害者账号密码,其中比较常见的有:
1) DLL劫持,位于Steam安装目录下名称IPHLPAPI.DLL
2) 进程注入,释放模块位于Steam安装目录名称为cuic.DLL
被盗账号会被如何处理?
受害者的账号最终流向,不外乎是以下几种:
1. 账号内有高价值虚拟财产,会被转移后卖掉。
2. 账号安全预留信息可改且价值较高的,修改信息后转手当做高价值黑号卖掉(几元到几百元不等)。
3. 账号价值较高且盗号者自己对账号内游戏感兴趣的,盗号者留作自用(开挂)。
4. 其余价值较低账号,打包出售。最后还是流到"上号器"号商手里。