窃密木马借"壁纸引擎"传播,Steam "再中招"
💡
原文中文,约2500字,阅读约需6分钟。
📝
内容提要
火绒安全实验室发现《Wallpaper Engine:壁纸引擎》下载的壁纸打开后会导致Steam账号异常,因为该程序捆绑了盗号木马。火绒建议用户更新病毒库以提高防御能力,并选择正规可信的壁纸程序。木马会进行一系列操作,包括提升权限、持久化、强制重新登录等。木马会遍历Steam搜寻Token,并传输数据给C2服务器。
🎯
关键要点
- 火绒安全实验室发现《Wallpaper Engine:壁纸引擎》下载的壁纸导致Steam账号异常,因捆绑盗号木马。
- 建议用户更新病毒库以提高防御能力,并选择正规可信的壁纸程序。
- 木马会进行提升权限、持久化、强制重新登录等操作。
- 木马会遍历Steam搜寻Token,并将数据传输给C2服务器。
- 样本伪装为HTML后缀的exe文件,实际为自解压压缩包。
- wehelpe.exe为恶意盗号木马,rE.exe为正常壁纸程序。
- 盗号前设立权限提升、驻留和强制重新登录等操作。
- Token解析包括签发者、主题、观众、过期时间等信息。
- 样本会拼接数据并通过POST协议上传到指定地址。
➡️
