火絨安全警報：疑似方正集團子公司簽名泄露 遭黑客利用盜取Steam帳號

1、 概述

日前，火絨安全團隊發出警報，火絨工程師截獲下載器病毒Apametheus，該病毒入侵電腦後會下載多個病毒模塊，病毒模塊運行後，將盜取steam帳號，同時劫持用戶QQ臨時登陸權限，強行添加QQ好友、轉發空間，散播違法信息。

經過技術溯源發現，該病毒帶有「北京方正阿帕比技術有限公司」（北大方正子公司）的數字簽名：「Beijing Founder Apabi Technology Limited」 ，以躲避安全軟件的攔截查殺，疑似爲簽名泄露被黑客團伙利用，建議該公司儘快排查。

「火絨產品（我的版、企業版）」最新版便可查殺該病毒。

2、 樣本分析

近期，火絨截獲到病毒文件帶有「Beijing Founder Apabi Technology Limited」簽名（北京方正阿帕比技術有限公司），系北大方正集團有限公司子公司，病毒數字簽名能夠驗證經過。以下圖所示：

病毒數字簽名

病毒數字簽名

病毒數字簽名

病毒運行後經過訪問C&C服務器下載下載器病毒（Linking.exe和calc.exe）至本地執行，運行後會啓動svchost.exe進程進行注入，被注入svchost.exe進程分別會執行不一樣的惡意代碼邏輯。惡意代碼邏輯分別包括：盜取steam帳號、利用本地會話劫持強行添加QQ好友和轉發QQ空間日誌。病毒執行惡意行爲後進程樹狀態，以下圖所示：

病毒執行後進程樹

盜取steam帳號

病毒會不斷搜索steam登陸窗口，當搜索到steam登陸窗口後，釋放cuic.dll並將該動態庫注入到steam.exe進程中。相關代碼邏輯，以下圖所示：

注入steam.exe

被注入的惡意代碼（cuic.dll），首先會循環檢測SteamUI.dll是否已經成功加載。若是成功加載，則會經過獲取控件數據的方法獲取用戶登陸信息。以下圖所示：

循環檢測SteamUI.dll 比較控件名稱相關代碼，以下圖所示：

比較Steam_GetTwoFactorCode_EnterCode控件名稱 惡意代碼相關數據，以下圖所示：

惡意代碼相關數據

強行QQ好友推廣

該部分病毒代碼執行後，會經過本地的QQ快捷登陸信息獲取臨時登陸憑證進行會話劫持，以後強行使用用戶QQ執行添加指定QQ好友、強行轉發QQ空間日誌。相關代碼，以下圖所示：

強行添加QQ好友

強行轉發QQ空間日誌相關代碼，以下圖所示：

強行轉發QQ空間日誌

3、 附錄

樣本SHA256：