我们收到了最近蒸汽骗局这要归功于一名玩家,她在游戏平台的Activity动态中迅速通知她的朋友,她遇到了一个可疑的bot账户。

玩家Patrizza Vampizza已经发布了下面的截图作为警告的这个电流的形式做法

steam-bot-mod
点击放大

嘿!我们组进行了一场“压皮”比赛!奖品- [URL]您已被随机选中的10个获胜者之一!从屏幕上的列表中选择任何5个项目!!

“Pressure”Skin实际上是Steam上一个相当受欢迎的团体,成员多达数千人。和帕特丽夏一样,小组里的其他人似乎也收到了同样的消息,但来自不同的私人账户。他们可能确实是机器人,但也有可能是目前被用于在Steam聊天中传播恶意链接的账户。

当用户点击垃圾邮件,这是网址苏ptrnscr[点]/ jE8j3L /,它们被导向这个页面和文件,Screenshot_3.scr(MD5 FCA73DC665FF51022A7291B76B554809),会自动从盒子文件共享网站帐户:

ptrnscr点击放大

在桌面上,这个.src文件看起来是这样的(为了更好的可见性放大了):

fake-screenie

你看到的蓝色曲线是图像的一部分。

一旦执行,受影响的用户不会看到任何事情发生在他们的桌面,因为大部分的操作发生在后台。他们不会看到Screenshot_3.scr读取有关系统的信息;或删除多个文件,其中两个恶意的;或阻止系统提示由于错误的消息的人;或经由通常使用的一个端口连接到在俄罗斯的IP地址DarkComet RAT(不过尽管相似,Screenshot_3.scr实际上是一个NanoCore老鼠——谢谢,MalwareHunterTeam!)因此,这并不是一个非常新的策略;然而,这是一个几乎不为大多数用户所知的策略。

如果你想阅读更多关于这方面的技术资料Screenshot_3.scr,你可以去此混合分析页面

必威平台APP伪反恶意软件检测恶意的.scr文件,和用户也被保护访问下载站点。

我们已经通过聊天发布了一段时间的Steam恶意软件。然而,我们仍不断看到用户采用同样的策略。迄今为止,已有1500多人点击苏ptrnscr[点]/ jE8j3L /,认为这是由Steam成员发送给他们的。以下是这些点击的地理分类,由Bitly提供:

click-stats点击放大

千万不要点击来自发送过自己的方式邮件中的链接,特别是如果它包装成某种形式的竞赛,而不检查消息的合法性的其他来源。“信任,但验证”,正如他们所说的,我们应该明智地这样做。此外,蒸汽社会必须继续自己照顾和相互报告可疑账户蒸汽并告诉你的朋友他们。

对于那些认为自己被黑的人,请更改密码,我们鼓励你告诉你的Steam朋友你的经历。

保持安全!

进一步阅读(或多个):

乔维Umawing