• 前言

近期，360核心安全團隊發現了一個作案時間長達7年之久的盜號團伙，該團伙捆綁了多種遊戲外掛軟體植入盜號木馬，盜取包括聊天工具、Steam遊戲、棋牌遊戲等數十款客戶端的賬號密碼，並透過倒賣這些賬戶最終獲利。追蹤過程中發現，作案團伙使用的盜號後臺均以“天龍”、“天馬”等命名，結合其偷竊遊戲賬號的性質，故本次報告將該盜號木馬集合標記為“天鼠”系列。

• 作案情況
  

以下是作案團伙的其中一份盜號清單，捆綁的木馬程式實時監控使用者機器上執行的37種客戶端程式，其中包括QQ、YY兩款聊天工具，LOL、DNF等多款大型網路遊戲，以及鬥地主、親朋等棋牌類遊戲，然後從遠端伺服器下載對應的盜號程式來進行賬戶密碼的竊取。

根據盜號資料庫的建立日期看，至少從2012年3月份開始，該作案團伙就已經著手進行盜號竊取工作，如下為其中一張密保資料（“mibaozl”）表的部分欄位。

該作案團伙每天盜取的賬號數量“頗為可觀”，如下為近期被盜取的部分DNF遊戲賬號。

經過追蹤調查，發現作案團伙實時監測盜取的賬號資料，每隔一段時間就會登入伺服器收取一批最近盜取的賬號並銷燬資料記錄，如下為作案團伙使用的其中一個資料監測後臺。

從截獲到作案團伙的一些備忘錄上看，該團伙對各個目標客戶端會有不同的監測後臺和銷售渠道，比如其中某款棋牌遊戲的賬號標價可能為30元一個，結合該團伙的目標種類數目和每天盜取的賬號數量，可以說用“日進斗金”來描述其黑色收益的產出再適合不過了。

• 案例分析

透過360安全大腦追查後發現，該作案團伙捆綁了大量不同型別的遊戲輔助外掛程式來傳播盜號木馬，本節以“生死狙擊刷金幣1.0”為例來分析具體的盜號流程，該軟體被作案團伙掛到網上各大下載站，並且早在2016年份就開始傳播。（軟體的製作時間是2015年）

使用者下載外掛軟體後執行，可以看見正常的外掛功能介面，但是捆綁的木馬執行緒卻已經在後臺偷偷地執行起來。

木馬執行緒透過內建的FTP賬號密碼從遠端伺服器“www.yitongcom.com:21”拉取一個木馬分發器“help.exe”，由該分發器再負責監控使用者機器的客戶端程式並下載對應的盜號或遠控模組來執行惡意工作。

木馬分發器“help.exe”內建了一張監測列表，透過檢查程式列表來執行對應模組的下載動作，比如當使用者啟動QQ時就會下載對應的QQ盜號木馬模組執行。另外，正常系統均會存在“csrss.exe”系統程式，所以該分發器至少會從遠端下載“bin6/csrss.exe”模組執行，而該模組實際上是個遠端控制模組，用來直接控制使用者電腦。

這些惡意的工作模組下載後被重新命名為“360sys**.exe”（其中**為隨機數字），限於文章篇幅這裡僅簡單介紹2類盜號模組的工作流程。

· QQ盜號過程

QQ的盜號過程比較簡單，核心方法就是透過彈出一個仿冒的登入視窗來欺騙使用者輸入賬號密碼。首先盜號模組迴圈遍歷程式列表來檢測QQ程式是否存在：

若發現QQ已登入，則直接執行kill命令退出該程式，或者使用者剛啟動QQ的時候直接終止程式。

當然，強制退出QQ程式後，木馬模組馬上透過內建的登入框資源畫出一個仿冒的登入視窗，該視窗是根據真實的歷史版本QQ登入介面高仿出來的，使用者可能難以辨識真假輸入自己的賬號密碼上當受騙。

此外，在盜號模組的資源中還發現了QQ異常登入的圖片，但實際上目前並沒有使用，推測後續可能該團伙會在強制退出已登入QQ的欺騙流程上再做完善。

一旦使用者受騙上當，輸入自己的賬戶密碼試圖登入，盜號模組就成功截獲賬號並回傳伺服器，之後再啟動“真的”QQ進行登入。

· DNF盜號過程

DNF遊戲盜號模組的流程稍微複雜一些，不過最終使用的盜號方式其核心原理也是仿冒DNF遊戲的登入介面欺騙使用者輸入賬號密碼。分析過程發現，該模組載入方式較為繁瑣，目的是為了躲避安全檢查，聯網從“hxxp://115.231.220.57:8005/xia/tm.css”下載真正的盜號程式碼並建立傀儡程式來執行，具體的步驟這裡就不再詳述，直接進入盜號程式碼分析盜號過程。首先，依然是遍歷程式列表檢查DNF遊戲是否執行，若存在則直接將其強制退出，然後從騰訊官方下載一些真實的圖片資源備用。

接著，針對使用單獨的DNF遊戲客戶端和騰訊遊戲平臺兩種登入方式分別建立了1個執行緒進行竊取。對於獨立客戶端登入程式，先強制退出相關的輔助程式後，再檢查該客戶端程式是否存在以進行下一步流程。

下一步的流程其實也是依葫蘆畫瓢，把人家的程式退出後就自己畫出仿冒的遊戲登入視窗以假亂真，誘騙遊戲使用者輸入賬號密碼。

然而實際上最新版的官方DNF遊戲登入介面如下：

當受騙使用者在仿冒的登入介面輸好賬號密碼準備登入遊戲後，盜號程式碼則一邊假正經的提示使用者正在登入，另一邊則偷偷將盜取的賬號密碼往自己的伺服器回傳，等盜竊任務完成後，再給使用者彈出個“善意的謊言”。

盜號木馬模組將使用者賬號密碼偷偷回傳：

最後當使用者點選虛假提示資訊裡的“確定”按鈕，木馬模組就幫使用者重新啟動了一下正版的DNF遊戲進行登入，功成身退。

· 傳播溯源

透過360安全大腦的監測，發現該系列盜號木馬主要是以捆綁遊戲外掛的形式進行傳播，從這點也能看出作案團伙的主要目標群體是網路遊戲玩家，針對他們的遊戲賬號進行盜竊。以下僅列出部分被捆綁過該系列盜號木馬的遊戲外掛程式。

進一步追蹤發現，這些各式各樣的外掛輔助程式被上傳到網上進行大量傳播，作案團伙在各類知名或不知名的軟體下載站、網盤中進行廣撒網，大大增加遊戲玩家下載執行盜號木馬的機會，以下為部分被淪陷成為該團伙作案溫床的下載網站列表。

根據360安全大腦的監測，該系列木馬持續作案，經常更新換代，不僅盜號模組和捆綁的載體外掛程式會經常替換，而且盜號使用的伺服器也是不斷更新和擴充。但是由於傳播網路早已建立，該作案團伙每天都能輕鬆保證足夠的活躍度來支撐其黑色收益，如下僅以上述提及的盜號伺服器為例反映最近一個月來的木馬活躍情況。

· 總結

本系列盜號木馬有傳播範圍廣、持續時間長和作案經驗老道等特點，360核心安全團隊對其進行了深度的追蹤和獨家的披露，並藉助360安全大腦展開全面的查殺和防禦。對於廣大的網路遊戲玩家，建議使用最新的360安全衛士對電腦進行安全防護，不要輕易下載來歷不明的外掛軟體，提高自我安全意識並養成定期更換賬號密碼的良好習慣。

· 附錄