[更新]方正证书泄露被黑客签名恶意软件盗取Steam账号
2018年12月28日修订:
蓝点网收到北京方正阿帕比技术有限公司声明,本文提到的数字证书为攻击者冒名申请而非方正阿帕比泄露。
证书签发商(CA)成都汇智云安信息系技术有限公司出具函件予以证明,签发商已经对假冒数字证书进行吊销。
日前火绒安全团队截获下载器病毒用于盗取用户各类账号,该病毒感染后会下载多个病毒模块自动后台运行。
黑客的主要目的在于盗取用户的Steam平台账号并且还会劫持腾讯QQ权限空间广告和强行添加QQ好友等等。
火绒经过分析还发现此病毒带有北京方正阿帕比技术有限公司的数字签名,该公司为北大方正集团的子公司。
盗用数字签名躲避安全软件拦截:
多数操作系统和安全软件默认情况下会放行携带签名的软件,这也是黑客用方正集团证书对病毒签名的原因。
而这个数字证书为正常状态因此多半是方正证书此前已被泄露,泄露原因是黑客入侵还是其他原因暂时未知。
尽管携带正规数字签名但恶意行为还是被火绒发现,目前火绒已经可以对此病毒的系列版本进行拦截和查杀。
劫持QQ空间转发违法内容:
火绒发现该病毒会下载多个模块用于检测和劫持Steam进程, 当然最终目的就是盗取用户的Steam账号密码。
除此之外作为常规的变现手段该病毒劫持QQ临时登录权限,然后登录QQ空间转发各类垃圾广告和违法内容。
还会在用户不知情的情况下强行为用户添加QQ好友,添加的这些QQ好友都是用于传播广告甚至色情内容的。