最近,360安全大脑监控器发现了一个作案7年的团伙。该团伙通过捆绑大量不同类型的游戏辅助插件传播盗号木马,窃取电脑用户数十个热门电脑程序的账号密码,包括聊天工具、Steam游戏、桌游等。然后再把这些账户转卖,最终盈利。
成功侦破该团伙后,360第一时间发布了该系列盗号木马的分析报告,360安全卫士已第一时间支持对该木马的查杀和防御。
“海盗天团”出道七年。你的游戏账号没问题吧?
360安全大脑在追踪过程中发现,这个团伙所使用的黑客攻击背景以“天龙”、“天马”命名。因此,360安全研究人员将这一系列盗号木马命名为“天图”系列3354,就像网络中一只偷吃的过街老鼠。
报告显示,“天鼠”团伙在各种游戏插件中捆绑运行木马程序,实时监控用户机器上运行的37种客户端程序,包括QQ和YY聊天工具、LOL、DNF等大型网络游戏,以及斗地主、亲友等棋牌游戏。经过监控,这些木马会从远程服务器下载相应的盗号程序,从而进一步实施盗号计划。
从报道披露的信息来看,“天图”团伙的黑客手段可谓“老辣”。以盗取QQ号为例。盗号木马运行后,会弹出一个假的登录窗口,诱骗用户输入账号密码。即使用户被强制退出QQ进程,木马模块也可以通过内置的登录框资源,立即重新绘制一个虚假的“登录窗口”3354。这个窗口是根据真实的版本历史QQ登录界面模拟出来的,所以用户很容易被“高仿”欺骗,毫无防备地输入自己的账号密码。
一旦用户的账号密码被成功骗走,黑客模块会立即拦截信息并发回到“天图”团伙的服务器上,然后启动“真QQ”登录,防止用户起疑。而且360安全大脑还在盗号模块的资源中发现了QQ异常登录的图片,但目前并未实际使用。安全研究人员推测,“天鼠”团伙可能还在计划对“强行注销QQ”的作弊流程进行后续改进。隐藏七年,“天天赚钱”,360一招秒杀!
从报道公布的黑客数据库创建日期来看,“天图”黑客团伙的踪迹至少可以追溯到2012年3月。更可怕的是,“天鼠”团伙每天盗取的账号数量“相当可观”。就在最近,大量DNF游戏用户的账户被盗。
另外,这种“天鼠”的隐藏手段特别狡猾。30安全大脑经过跟踪侦查,“天鼠”团伙实时监控被盗账号数据,每隔一段时间就会登录服务器采集一批最近被盗的账号,并销毁数据记录。如此“谨慎”的作风,难怪这只“日鼠”能成功作案这么久。
除了“严谨”的工作,“天图”团伙还找到了一条成熟的产销链条。从一些截获的备忘录来看,“天鼠”团伙会对每个目标客户有不同的监控背景和销售渠道。比如某个棋牌游戏的账号价格可能是30元一个。如果把“天图”团伙攻击的目标数量和每天被盗的账号数量结合起来,用“日入”来形容其黑色收入的产出一点也不为过。
不过,正所谓“道高一尺魔高一丈”,虽然“天鼠”狡猾,但最终还是被360安全大脑成功捕获。目前360安全卫士已经支持对盗号木马的全面查杀和防御。
同时,对于广大网游玩家,360安全大脑建议:
1.使用最新的360安全卫士保护电脑;
2.不要轻易下载来历不明的外挂软件;
3.提高自我安全意识,养成定期更换账号密码的好习惯。
