请警惕淘宝低价steam游戏 （附带一个样本）

梦在燃烧

淘宝看到低于市场价的市场价百分之90的steam游戏 我寻思他啥套路呢结果如下
说了句盗号 直接秒退款，东西我直接放到虚拟机运行后啥都没出来。 虚拟机鼠标指针就狂转圈希望有大佬来分析下

神龟Turmi

这种类型的帖子建议发到样本区，很多分析大佬是不看国内/国外区的
借助在线工具看了一下（原谅我过不掉它的反虚拟机）

衍生物有一个很奇怪的自签名CodeSign（通常这种行为只会增加被检测的概率而不是降低 不是很理解为什么这么做）

1. Found VM detection artifact "CPUID trick" in "70633245b23d4f04dba6f7d8cb3c710e2758683aa155dafebed8052730bb9b4f.bin" (Offset: 579118)
   
2. "wine_get_version" (Indicator: "wine_get_version"; File: "70633245b23d4f04dba6f7d8cb3c710e2758683aa155dafebed8052730bb9b4f.bin")

复制代码

确认存在反虚拟机（这可能就是在你虚拟机里跑不出来的原因）
没有发现键盘记录或者读取Steam内存的情况（如果有会触发YARA）
从静态分析来看（包含TLS Key和一个硬编码url）猜测是用于跨区的代{过}{滤}理软件，没有发现（在在线分析的条件下）明显的恶意行为
有两个衍生物从腾讯云对象存储被下载下来，但是衍生物（除了有一个奇怪的自签名CodeSign）也没有跑出太明显的行为
在看了一下问题不是太大之后我直接实机运行了一下
它直接开启了代{过}{滤}理并且启动了Steam，使用了我本机已经保存的Steam注册表授权登录，我为了安全起见提前用HIPS阻止了它读取Steam注册表的保存授权部分，看起来并没有触发。使用自动登录而不是删除授权要求重新输入密码更降低了它盗号的可能性

从目前获得到的结果，看起来这是一个用于跨区域入库的工具，目前从我个人的分析没有发现太明显的恶意行为
声明：本分析所提到的与网络有关的词汇仅用于判断该样本的行为和安全性，是探讨一个可疑样本作用时必须的，并非讨论代{过}{滤}理等技术


Update:
research了一下衍生物，它似乎是基于这个东西
https://www.steamtools.net/zn.html
它衍生物存储的路径C:\Users\10330\AppData\Roaming\Stool 和上述工具相同

paul_guo

反虚拟机和病毒不是必然画等号的

LeeHS

crowdstrike 双击杀

anthonyqian

飞塔觉得是恶意的

The sample you submitted will be detected as follows:
MD5: fccdede52ba67e4596c48eabed7225c7 - <W64/Steamtools.25c7!tr>

lie209

诺顿扫描miss

Miostartos

anthonyqian 发表于 2022-12-24 10:00
飞塔觉得是恶意的

The sample you submitted will be detected as follows:

看一下报毒名
飞塔明显是把steamtool整个拉黑了

badanwfs

steamtool 相当于把你本机激活游戏的指纹取出来，然后买家来买的时候就用这个工具把指纹恢复到买家的电脑上，欺骗steam，然后买家就可以玩游戏，但是这种方式你换电脑就不行，而且容易被steam拉黑账号。目测工具没什么问题，但是属于灰色边缘的工具。如果要买游戏，淘宝上最便宜也要去买cdkey，这种一般没什么问题，而且是和账号同步，不存在换电脑就不能用的问题。

帐号问题

低价 Steam 游戏，一般不是卖离线的吗，咋还要安装向日葵远程软件？

anthonyqian

Miostartos 发表于 2022-12-24 10:48
看一下报毒名
飞塔明显是把steamtool整个拉黑了

不是吧，这个是飞塔的哈希拉黑，改个MD5估计就过了

W64/Steamtools.25c7!tr

平台/家族.MD5后四位!威胁类型

另外微软好像也判定为Malware了，检测名是Trojan:Win64/CryptInject