cf活动助手会被盗号吗（cf活动助手盗号吗）

cf活动助手会被盗号吗，原文标题：从CF活动助手到Steam盗号扒手。

前言

网络游戏的辅助、助手类工具一直以来都受到一些游戏玩家的喜爱。但由于这些软件很多都存在扰乱游戏公平、篡改游戏数据等问题，损害到了游戏运营方和遵守游戏秩序玩家的利益，一直以来都是被游戏厂商、运营商打击的对象。也正是因为这是一个较为灰色的地带，造成了这类工具都是由个人或小团队开发和维护，可谓鱼龙混杂。这里面也就存在大量追求不法利益的开发者——利用游戏辅助传播病毒木马和各类恶意程序，甚至还有趁机窃取游戏账号装备的可谓比比皆是。而今天要提到的”CF活动助手”就是其中一个。

CF活动助手分析

CF活动助手是一款比较流行的游戏辅助工具，其支持的功能很多，以下是其官网的介绍内容，包括”最新活动通知”，”一键领取活动礼品”，”战绩、消费、仓库查询”功能，并且”永久免费”，看起来确实是不错的辅助，

图1. 官网的助手功能介绍

通过官网的用户实时统计可以看出：其每日的用户IP数可达到70000 ，PV量已经达到了12万，这也从一个侧面说明了其确实深受用户喜爱。

图2. CF活动助手的用户量

图3. CF活动助手程序界面

CF活动助手为了保证能及时跟进游戏运营方推出的活动，同时保证其”查询功能”接口的有效性，会在启动时通过云端下拉配置方式获取自身运行所需配置信息，其使用的云端配置信息地址如图4所示：

图4. 程序内使用的云控地址

图5. 程序官网的加密云控信息

通过解密其云控配置后，可以发现除去程序相关的配置信息后，还包括对安全软件的检测，同时具有下载并执行远端程序的功能。

图6.安全软件进程名配置字段

图7. 远端下载程序配置字段

其中下载文件名为”QMBroswer.exe“和”QMBrowser.exe”的文件，在前期分别下发过”QQ空间广告刷手”病毒以及”Steam盗号器”。而中间的”server.exe”文件，则是一个下载者木马。

1. 下载者木马

该木马启动后，会主动向远端地址发起下载请求，下载多个程序到本地执行。虽然在URL链接中，这些文件均已.txt结尾，但实际上大多均为可执行程序，其中也包含驱动程序（SYS）和动态链接库程序（DLL）等，具体功能也可能由于服务器控制者的修改而损失变化。

图8. 下载抓包

此外，该木马同时还会将中毒机器的相关信息上报给服务端用以统计。

2. Steam盗号器

盗号器启动后会结束正在运行的”Steam”客户端，之后通过枚举磁盘文件方式找到Steam客户端安装路径

图9. 结束Steam进程

图10. 释放盗号模块

找到Steam客户端安装路径后，会向路径内释放名为IPHLPAPI.dll的库文件用作DLL劫持，这样Steam客户端在下次启动时会加载该DLL文件。

图11. 盗号模块注入Steam进程

该DLL一旦被加载，便会通过hook方式挂钩SteamUI.dll模块的4处位置：分别为”UserNameEdit”、”密码”、”RememberThisComputer”、”Steam_GetTwoFactorCode_EnterCode”，如下：

图12. 盗号模块寻找hook点

图13. 待拦截的控件名称

如此一来，每当用户通过输入账号密码的方式登录Steam的时候，劫持了客户端的DLL同时也会窃取这份账号和密码。

3. “QQ空间广告刷手”病毒

病毒运行后，会通过QQ本地认证接口取到SKey，之后带Skey可跳转全线QQ产品，病毒会选择跳转QQ空间和兴趣部落，在非用户自愿的情况下，发布广告。

图14. 刷QQ空间说说

图15. 刷”兴趣部落”评论

实际发布内容如下图所示：

图16. 类似广告内容

火爆的Steam盗号

自”绝地求生”在国内爆红之后，针对Steam的盗号产业链发展得可谓异常迅猛，不只这一款辅助，我们还发现了大量各种针对steam的盗号攻击。

号码如何被盗？

目前流行的盗号方式大体可分为三类：

1. 钓鱼页面，骗取账号密码

通过伪装成相似度极高的”活动页面”诱骗受害者输入账号密码来领取所谓的”礼包”或”CDKEY”，而一旦输入这些信息，信息便会被发送到盗号者的”箱子”中存储起来，后续被打包转卖或者洗劫。

图17. 伪造的Steam钓鱼页面

2. 曲线救国，利用账号找回功能盗取账号

账号找回功能是指在用户一旦忘记原有密码时，平台方通过其预先绑定的邮箱地址发送”凭证”，用户以此即可重置其密码。一般来说，此类功能的设计原则，是基于认为账号所使用的注册邮箱持有者是可信的——即，能查看注册邮箱内容的人，可以被信任为就是账号主人本人。但由于腾讯本地统一认证接口的存在，以上这一套信任逻辑就变得不再可靠。

图18. Steam平台发送的密码重置凭证

腾讯所提供的这套接口，本身是为了方便用户登录其全线产品所设计的一套机制。但由于没有对调用者进行校验，所以任何在用户计算机中运行的程序都可以调用从而拿到SKey（认证Token），如果用户使用了QQ邮箱绑定其Steam账号，那攻击者通过在Steam平台主动发起”密码找回”，之后通过Skey在受害者的邮箱中取到”凭证”从而重置密码，更进一步可以修改掉受害者的Steam绑定邮箱，使得受害者无法再找回其账号。

常见的有以”XX变声器”、”XX加速器”命名的”撸号器”，通过聊天工具、邮箱方式进行传播。

图19. 通过邮箱传播的Steam撸号器

3. 对登录器下手，直接获取账号密码

前文所述的”CF活动助手”即为以”DLL劫持”方式注入Steam登录程序，通过hook相应的控件处理逻辑从而偷取受害者登录账号及密码，而这种方式非常隐蔽，受害者一时很难察觉，同时也存在盗号器以”远线程”注入方式盗取受害者账号密码，其中比较常见的有：

1) DLL劫持，位于Steam安装目录下名称IPHLPAPI.DLL

2) 进程注入，释放模块位于Steam安装目录名称为cuic.DLL

被盗账号会被如何处理？

受害者的账号最终流向，不外乎是以下几种：

1. 账号内有高价值虚拟财产，会被转移后卖掉。

2. 账号安全预留信息可改且价值较高的，修改信息后转手当做高价值黑号卖掉（几元到几百元不等）。

3. 账号价值较高且盗号者自己对账号内游戏感兴趣的，盗号者留作自用（开挂）。

4. 其余价值较低账号，打包出售。最后还是流到”上号器”号商手里。

图20. Steam黑号出租（上号器）

图21. Steam黑号圈子

图22. Steam黑号交易

如何避免号码被盗？

1. 尽量避免使用第三方辅助软件。

2. 无论是游戏账号还是邮箱账号，尽可能启用多重安全机制（如手机动态口令app等）。

3. 在非可信环境下（如网吧）避免使用自己的游戏账号。

4. 360安全卫士具备”游戏账号保护”功能，在开启情况下可有效阻止游戏号码被黑客窃取。

图23. 360安全卫士拦截威胁程序对Steam客户端的注入操作

本文《cf活动助手会被盗号吗（cf活动助手盗号吗）》由网赚联盟（ wangzhuan.org.cn ）整理或原创，感谢您的阅读。

随机文章

SEO教程
站长导航
搜素引擎算法
关键词排名优化
GEO培训
SEO小小课堂网
站长导航
关键词排名优化