今天,我们要看一份伪造的档案抽搐博客(现在离线),位于

twitchblog毫升(点)

声称为streamer提供音频协议,“音频修复”窃取目标Twitch streamer的流密钥,将其传递给文件的创建者。

流键允许负责恶意软件的人拥有频道流的所有权,并向集合起来的频道观众发送他们想要的任何震惊的表情包/图片/视频。

等到原来的流媒体重新获得控制时,窃取流密钥的人很可能已经导致观众弃船。

通常情况下,潜在的受害者将不得不屈服于一些社会工程来交出它(通常涉及不止一个人),但这将进入障碍设置为“运行这个文件,lol”。

这是一个假博客,看起来像一个官方的Twitch页面:

假抽搐的博客

这篇标题为“新音频协议”的博客说,你需要运行一个“小BAT文件”来“检测你是否有OBS和xSplit,并相应进行补丁”。

假博客:

如果您的浏览器声明该文件可能是恶意的,这主要是由于文件格式。我们可能会在以后修正这些问题。1.下载下面的文件,你可以选择。zip或。rar 2。解压。zip或。rar 3。运行。exe文件3.5如果Windows 8显示“SmartScreen”过滤器,点击“More info”和“Run anyway”4喝点柠檬水,同时我们的Hotfix补丁必要的文件5重启你的电脑,回到流媒体

不幸的是,当文件完成工作时,您可能需要一些比柠檬水更有用的东西来重新控制您的Twitch流。

Twitch音频修复文件是一个用Python C API编写的C程序,这意味着它需要Python库来运行(版本3.4,如果你想知道的话)。为了正确运行,它会查找library.zip或python34.dll。如果没有这些,您在尝试运行它时只会遇到错误。

抽搐的错误

错误对潜在的受害者来说是一件好事——如果它不起作用就没有危险,对吧?-除了所有的东西,包括库。zip和一些dll文件捆绑在Twitch音频修复下载。

假Twitch音频文件

这是来自终端的消息,一旦所谓的音频修复启动。它的目标用户是登录到Chrome或Firefox的Twitch用户。

改变时间

试图获取凭证时发生错误,请再次尝试

^这个消息显示,因为文件正在寻找登录的Twitch证书在Chrome(这是没有打开这里测试)。测试与Chrome开放导致崩溃,所以有可能的一面事情可能是坏了。

连接到twitch服务器(这可能需要一段时间)
验证抽动连接…
获得抽动设置
正在发送Twitch设置到大型机Twitch服务器,请稍候

^这与从Firefox中获取证书的尝试更为成功有关。

这个错误已经被修正了

^“错误”是你的频道名不是文件创建者想要的。因此,他们为你改变了它:

巨嘴鸟的到来

巨嘴鸟来了

巨嘴鸟?巨嘴鸟出现在你的聊天流中跟受欢迎的ASCII meme在Twitch和其他圈子里

这是推奇的邮报,带来巨嘴鸟的消息:

巨嘴鸟(再次)着陆了

以及回应,让你知道改变已经被接受:

巨嘴鸟接受

然后它发出一个GET请求/kraken/channel?on_site HTTP / 1.1 = 1。下面的图片包含了用户电子邮件和流密钥。

流的关键

下面你可以看到通过IRC输出的各种信息:

信息发送

最后,Fiddler中显示的IP、城市、主机名和其他信息如下:

城市,国家,主机名等等

的用户必威平台APP伪反恶意软件会发现我们检测到文件是trojan . password . twitch。

Twitch突袭非常常见,在Twitch聊天频道中可以找到许多可疑的文件。其中许多都是相当标准的努力(删除文件或滥发色情网站),但这一个有更多的想法投入。

使用Twitch服务的玩家应该小心在流媒体领域进行下载——尽管巨嘴鸟很棒,但我不确定你的游戏流是否是最适合他们的地方。

克里斯托弗·博伊德(感谢约书亚的进一步研究)