惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

V
Visual Studio Blog
Google DeepMind News
Google DeepMind News
V
V2EX
B
Blog RSS Feed
有赞技术团队
有赞技术团队
博客园 - Franky
美团技术团队
月光博客
月光博客
酷 壳 – CoolShell
酷 壳 – CoolShell
奇客Solidot–传递最新科技情报
奇客Solidot–传递最新科技情报
腾讯CDC
云风的 BLOG
云风的 BLOG
L
LangChain Blog
GbyAI
GbyAI
The Cloudflare Blog
CTFtime.org: upcoming CTF events
CTFtime.org: upcoming CTF events
C
Check Point Blog
让小产品的独立变现更简单 - ezindie.com
让小产品的独立变现更简单 - ezindie.com
Stack Overflow Blog
Stack Overflow Blog
博客园 - 【当耐特】
The Register - Security
The Register - Security
大猫的无限游戏
大猫的无限游戏
D
Docker
Vercel News
Vercel News
Blog — PlanetScale
Blog — PlanetScale
OSCHINA 社区最新新闻
OSCHINA 社区最新新闻
博客园 - 司徒正美
人人都是产品经理
人人都是产品经理
雷峰网
雷峰网
阮一峰的网络日志
阮一峰的网络日志
P
Proofpoint News Feed
N
Netflix TechBlog - Medium
博客园_首页
A
About on SuperTechFans
J
Java Code Geeks
量子位
freeCodeCamp Programming Tutorials: Python, JavaScript, Git & More
MongoDB | Blog
MongoDB | Blog
Recent Announcements
Recent Announcements
G
Google Developers Blog
小众软件
小众软件
博客园 - 叶小钗
WordPress大学
WordPress大学
博客园 - 聂微东
钛媒体:引领未来商业与生活新知
钛媒体:引领未来商业与生活新知
Martin Fowler
Martin Fowler
S
SegmentFault 最新的问题
F
Full Disclosure
Jina AI
Jina AI
H
Help Net Security

博客园 - r1ch4rd_L

RAX3000Z路由器开启telnet功能并在互联网侧实现持久化控制 内网搭建KMS激活windows与office “Chrome139.0.7258.128版本GPU硬件加速错误导致UI加载失败”问题临时解决方案 明源相关漏洞自查清单(2025) 用友相关漏洞自查表(2025年) 亿邮相关漏洞总结 突发,广东广州电信把github地址解析成为127.0.0.1 Sysmon立大功,分析短进程,阻止右下角芒果TV弹框 分析一个steam假入库行为,附带相关恶意样本 辣鸡CSDN 捕获挖矿脚本分析 apache2.4.49RCE漏洞抓鸡(CVE-2021-41773_CVE-2021-42013) 多种shiro利用方式总结 【钓鱼可用】文件名反转字符串 SonicWALL SSL-VPN Web Server Vulnerable Exploit - r1ch4rd_L ES文件浏览器4.1.9.7.4任意文件浏览漏洞 SUID提权之python的os.setuid(0)提权 PHP-8.1.0-dev 后门命令执行 windows命令行工具导出系统日志——wevtutil 金蝶EAS接口未授权 (蓝队4月10日捕捉疑似0day)
分析一个Steam钓鱼骗局,附带相关恶意样本
r1ch4rd_L · 2025-04-12 · via 博客园 - r1ch4rd_L

一、缘起

周末有个Steam名为“影冰”的用户,通过好友关系添加我为好友。

隔夜我正愉快地玩着史低入手的零感染区,突然收到该用户的消息,并附带一个钓鱼链接。(钓鱼样本:https[://]csmav[.]com/csgo/)

该用户发言一股机翻味道,目测是境外组织。

职业敏感性让我预判了他的预判,直接找他要链接。

二、解构

作为一名网络安全工程师,拿到了钓鱼链接,当然要进行一番分析。

2.1、首先访问该链接

访问后页面如图所示,不得不说做的还挺好。

该页面无论点击任何按钮,均要求登录steam。

2.2、登录按钮跳转

点击后以弹框方式显示登录页面,并在地址栏中隐藏真实URL。

F12查看真实URL(样本:https[://]mollydo[.]com/login/home/?ref=https[://]csmav[.]com/csgo/#)

2.3、分析钓鱼页面登录功能

看到有登录框和二维码,打开Burp工具,抓包分析登录提交与二维码请求逻辑。

登录提交为明文提交“用户名:密码”至其接收端。(样本:https[://]mollydo[.]com/api/check-credentials)

请求包:

POST /api/check-credentials HTTP/2
Host: mollydo.com
Content-Length: 59
Sec-Ch-Ua-Platform: "Windows"
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/135.0.0.0 Safari/537.36
Accept: application/json, text/plain, */*
Sec-Ch-Ua: "Google Chrome";v="135", "Not-A.Brand";v="8", "Chromium";v="135"
Content-Type: application/json
Dnt: 1
Sec-Ch-Ua-Mobile: ?0
Origin: https://mollydo.com
Sec-Fetch-Site: same-origin
Sec-Fetch-Mode: cors
Sec-Fetch-Dest: empty
Sec-Fetch-Storage-Access: none
Referer: https://mollydo.com/login/home?ref=https%3A%2F%2Fcsmav.com%2Fcsgo%2F
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.9
Priority: u=1, i
Connection: close

{"username":"骗子死全家","password":"骗子死全家"}

登录功能接收明文用户名、密码,并返回错误,令用户以为登录失败。

分析二维码请求,找到对应JS功能

请求包

GET /static/_next/static/chunks/728-86f8cb8db16a22b5.js HTTP/2
Host: mollydo.com
Sec-Ch-Ua-Platform: "Windows"
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/135.0.0.0 Safari/537.36
Sec-Ch-Ua: "Google Chrome";v="135", "Not-A.Brand";v="8", "Chromium";v="135"
Dnt: 1
Sec-Ch-Ua-Mobile: ?0
Accept: */*
Sec-Fetch-Site: same-origin
Sec-Fetch-Mode: no-cors
Sec-Fetch-Dest: script
Referer: https://mollydo.com/login/home?ref=https%3A%2F%2Fcsmav.com%2Fcsgo%2F
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.9

实际通过跨域请求s.team的二维码,获取登录信息。

三、掠影

通过行为判定该黑产团队为CS2盗号团队,且本事件中涉及链接均使用Cloudflare的CDN隐藏真实IP,无溯源价值。

整个盗号流程如下:

1、该团队先通过Steam好友添加新的好友关系,以“蠕虫”的方式在Steam好友间扩散。

2、在受害者通过好友申请后,通过言语诱导受害者点击钓鱼链接,并诱骗受害者在伪造的Steam登录页面登录。

3、获取Steam用户登录信息后,登录受害者CS2账号,盗取有价值的“饰品”、“枪皮”等虚拟资产。

四、启示

总结事件,得到防骗真言:

不相信、不点击、不填写、不下载

此内容由惯性聚合(RSS阅读器)自动聚合整理,仅供阅读参考。 原文来自 — 版权归原作者所有。