[更新:2015年12月9日]我们已经检测到第二个托管.exe恶意软件样本为特洛伊木马.msil.stereal。
原职:
“蒸汽代管”-这是一些视频游戏玩家熟悉的术语,但官方称之为“蒸汽交易持有”系统。
它涉及使用游戏平台的更新版本Steam Guard Mobile Authenticator,是安全功能的一部分蒸汽机应用程序。根据它的官方支持页面“交易持有”是指交易的物品在交付前被蒸汽持有的一段时间。这是Valve公司努力打击的一种方式商业骗子和诈骗.
此支持页面还提供了游戏玩家概述为什么这个新系统是必要的以及它的工作原理。我们建议您,亲爱的读者,如果您还没有,请熟悉新的身份验证器功能。贸易持有系统毕竟会生效。
蒸汽的贸易持有或“托管”最初作为今年11月第三周的几个视频游戏玩家中作为谣言分发。这也造成了非常轰动的人,他们经常通过蒸汽平台经常与朋友和陌生人交易项目,以至于有些人在他们的手中开始了几个对新系统的在线请愿Change.org和网瘾.
迄今为止,网上竞技场活动约有28400个签名;组织者最初的目标是25000英镑。
随着Steam社区对这个新系统的关注,在线罪犯也自然会被它吸引。
我们最近发现了一个假域CSGO洗牌,是一个受欢迎的投注网站,投注彩带和反击:全球进攻(CS:GO)交易项目皮。请注意,而不是接受随时随地的Shuffle网站的外观,而是借鉴Steam的交易窗口的幌子。
域URL:csgoshuffle贸易[DOT]com(登记在3号研发部(2015年12月31日)
点击放大
可以从此网站下载恶意软件,但不能自动下载。一个通过与页面交互触发此事件,就像Steam用户与交易窗口交互一样。下面是完成此操作的简短说明:
点击放大
首先,勾选“确认交易内容”蓝色条确认用户“准备交易”。这样做还可以启用页面底部最初变灰的“接受交易”按钮。用户单击此按钮后,将弹出“交易报价接受”窗口,显示:
伟大的!您的交易项目已提交给商店。它[原文如此]我们的新应用程序“托管”。您必须运行我们的应用程序“代管”获取您的皮肤,否则您必须等待3天。
单击“OK”按钮发信号通知页面以连接到Dropbox URL命名的文件托管.exe从中下载。
以上是我们从此广告系列中检索到的两个恶意软件样本的第一个(具有MD5 Hash 5014E666B01ADC5F4D31BC59FD902B3D)。必威平台APP恶意软件反恶意软件(MBAM)察觉它是backdoor.nanocore.. 它的源URL当前已关闭,今天被一个新的Dropbox URL替换,我们从中下载了第二个示例。
第二个样本也通过了托管.exe(使用MD5散列a6b685787f21a8860b153e379ab1cdd9)当前检测分数较低,为6/55关于病毒总数。我们将通过相应的检测更新此博客。
MBAM和hphosts.保护它们不被触及csgoshuffle贸易[DOT]com因为它很容易阻挡它。
Steam用户只需下载一个应用程序,那就是Steam移动应用程序。鼓励用户从非官方的第三方目标站点(如上述站点)安装到设备上的任何附加程序都是非常可疑的,必须避免。Steam移动应用程序只能从Steam的官方网站,由应用商店, 和谷歌游戏.
我们已经报告了将新恶意软件托管到Dropbox的URL。
约维·乌马温
评论