每周典型威胁分析

       近日，安天追影小组从威胁感知平台发现一个盗取QQ号的样本，其关联生成器“QQ粘虫盗号生成器”，主要功能为盗取QQ号。在运行“生成器”时只需填写“收信邮箱地址”。“信”是一个黑产术语，在QQ黑产中，一组QQ用户名和密码称为一个“信”。在之前的分析中，特别是手机拦截马等采用SMTP发信都需要发件邮箱的帐号和密码才能登录发送邮件，而本次分析的QQ盗号木马采用了第三方邮件发送服务，可以随意伪造发信邮箱，无需发信邮箱的帐号和密码信息。

       样本行为简要分析

       追影小组经分析发现该木马的工作流程如下：在已登录QQ的设备上运行样本后，桌面弹出QQ“重新登录”窗口，让用户误以为账号安全问题需要重新输入密码，输入密码后，该窗口连续弹出两次，用户三次输入的密码均以邮件的形式发送到收信邮箱，弹出三次的目的也是为了防止密码输入错误导致密码盗取失败。

       通过收信邮箱收到的邮件以及网络分析可以发现，木马发送邮件是以第三方平台“http://tool.chacuo.net/mailanonymous”伪造发件人方式向收信邮箱发送邮件，这种方式可以不需要使用smtp发邮件，从而不需要邮箱账号密码登录，不会暴露黑客的邮箱登陆信息。伪造的发件人邮箱以@VIP.com结尾，模仿QQ VIP邮箱，经过对不同版本生成器生成的样本分析发现，伪造的发件人邮箱分别为QQ@VIP.com和QQ10369323@VIP.com。

       黑客组织信息

       通过生成器中出现的“千里眼工作室客服QQ：10369323”等字样，可得知该木马制作者是有组织有规模的团队，搜索该QQ号发现其主要盈利途径为出售VIP版免杀生成器，并且将其免费版本（多种不同版本）发布在网盘、论坛等多种平台，来吸引更多的客户，该QQ号的密保手机为178******51。

       总结

       目前，QQ聊天工具已不仅具有聊天功能，其游戏等各种付费业务，促使盗取QQ号成为黑产的一个成熟业务。QQ粘虫的盗号方式，相对成本较低，盗号效果也不错，在利益的驱使下，促使其成为有规模的团队，经过与杀软的不断对抗，升级，后续还会有新的方式等待网络犯罪分析来发现。