近日，安天追影小組從威脅感知平臺發現一個盜取QQ號的樣本，其關聯生成器“QQ粘蟲盜號生成器”，主要功能為盜取QQ號。在運行“生成器”時只需填寫“收信郵箱地址”。“信”是一個黑產術語，在QQ黑產中，一組QQ用戶名和密碼稱為一個“信”。在之前的分析中，特別是手機攔截馬等采用SMTP發信都需要發件郵箱的帳號和密碼才能登錄發送郵件，而本次分析的QQ盜號木馬采用了第三方郵件發送服務，可以隨意偽造發信郵箱，無需發信郵箱的帳號和密碼信息。

       樣本行為簡要分析

       追影小組經分析發現該木馬的工作流程如下：在已登錄QQ的設備上運行樣本后，桌面彈出QQ“重新登錄”窗口，讓用戶誤以為賬號安全問題需要重新輸入密碼，輸入密碼后，該窗口連續彈出兩次，用戶三次輸入的密碼均以郵件的形式發送到收信郵箱，彈出三次的目的也是為了防止密碼輸入錯誤導致密碼盜取失敗。

       通過收信郵箱收到的郵件以及網絡分析可以發現，木馬發送郵件是以第三方平臺“http://tool.chacuo.net/mailanonymous”偽造發件人方式向收信郵箱發送郵件，這種方式可以不需要使用smtp發郵件，從而不需要郵箱賬號密碼登錄，不會暴露黑客的郵箱登陸信息。偽造的發件人郵箱以@VIP.com結尾，模仿QQ VIP郵箱，經過對不同版本生成器生成的樣本分析發現，偽造的發件人郵箱分別為[email protected]和[email protected]。

       黑客組織信息

       通過生成器中出現的“千里眼工作室客服QQ：10369323”等字樣，可得知該木馬制作者是有組織有規模的團隊，搜索該QQ號發現其主要盈利途徑為出售VIP版免殺生成器，并且將其免費版本（多種不同版本）發布在網盤、論壇等多種平臺，來吸引更多的客戶，該QQ號的密保手機為178******51。

       總結

       目前，QQ聊天工具已不僅具有聊天功能，其游戲等各種付費業務，促使盜取QQ號成為黑產的一個成熟業務。QQ粘蟲的盜號方式，相對成本較低，盜號效果也不錯，在利益的驅使下，促使其成為有規模的團隊，經過與殺軟的不斷對抗，升級，后續還會有新的方式等待網絡犯罪分析來發現。