警惕新型银狐木马!伪装Steam、Telegram语言包投毒,借protobuf漏洞静默窃密
不少玩家、Telegram用户习惯从第三方网站、社群下载Steam客户端、汉化语言包,殊不知黑客已利用该心理投放新型银狐木马变种。近期安全厂商捕获一款伪装成Steam.exe、Telegram简体中文语言包的银狐木马,抛弃传统TLS劫持手段,借助Steam内置protobuf注册链实现前置触发,全程内存解密执行载荷,传统杀毒软件极易漏报。一旦中招,木马会远程下载恶意程序,窃取账号密码、聊天记录、支付凭证,给个人与企业终端带来严重数据泄露风险。

一、木马伪装与基础特征,极具迷惑性
该恶意样本文件名伪造为官方Steam.exe,文件属性、版本号、版权信息全部仿冒Valve官方,文件大小4.46MB,32位PE程序,普通用户仅凭外观无法分辨真伪。同时配套钓鱼话术,诱导用户下载“Telegram简体中文语言包.exe”,运行后自动弹出汉化链接降低警惕。
样本关键IOC标识可用于终端查杀:
MD5:D58F9D3409892188764DA6F311E915FD
SHA256:E0F6227F02D8BF6263938088AF91D3F073DB4A43A529BA46665CB2E90F612799
二、核心攻击流程:借protobuf链路无感知执行
1、CRT全局初始化提前触发
木马不依赖常规程序入口,运行后MSVCCRT在WinMain主程序启动前,遍历全局初始化函数表,优先执行恶意插入代码,实现程序启动即触发恶意逻辑,绕过常规进程检测。
2、挂靠Steamprotobuf注册路径
攻击者篡改clientmetrics.proto等5组protobuf注册函数,将恶意代码嵌入文件注册、类型注册两条核心链路。Steam正常加载协议文件时,自动调用内置恶意thunk跳转函数,实现“合法程序带毒运行”的白利用攻击。
3、内存下载解密,无文件落地
恶意逻辑解析wininet接口,远程下载伪装成BMP图片的Shellcode,提前申请RWX可读写执行内存缓冲区。采用自定义多变量混淆XOR算法原地解密载荷,全程不落地硬盘文件,规避静态特征查杀。
4、GDI回调隐蔽执行远控
解密完成后调用gdi32!EnumObjects,将内存载荷作为回调函数执行,完成远控驻留,后台静默窃取浏览器、游戏、社交软件账号数据;若检测到文件含“语言”关键字,自动拉起伪造Telegram汉化链接实施二次钓鱼。
三、木马带来的多重安全危害
1、账号资产失窃:窃取Steam游戏令牌、Telegram聊天记录、浏览器保存的支付密码、网银凭证,盗刷虚拟资产与个人账户。
2、长期远程控制:攻击者可下发指令,截图、键盘记录、批量窃取本地文档,企业办公终端中招易泄露合同、财务数据。
3、免杀能力强:依托白利用+内存加载技术,多数基础杀毒软件静态扫描无法识别,变种迭代速度快,短期易大规模扩散。
4、二次扩散风险:木马可读取本地社交软件联系人,自动转发带毒文件,在社群、工作群形成链式传播。
四、个人与企业终端全方位防护方案
1、个人用户防护要点
软件仅从官方渠道下载,拒绝第三方破解站、社群分享的Steam、Telegram汉化包、绿色版程序;
下载exe文件后右键查看属性,核对数字厂商签名,陌生程序先上传病毒平台校验哈希值;
开启杀毒软件实时行为防护,定期全盘扫描,关闭系统未知程序自动运行权限。
2、企业办公终端防护策略
部署EDR终端检测响应工具,监控RWX内存申请、protobuf异常调用、陌生外网BMP下载行为;
网关防火墙拦截文中恶意域名,基于IOC哈希批量查杀终端可疑文件;
开展员工安全培训,禁止工作设备下载游戏外挂、第三方汉化工具,群内陌生文件必须线下核实发送人。
3、中毒应急处置步骤
立即断开网络,防止数据外传;在干净设备修改所有账号密码;使用终端安全工具全盘查杀,清理注册表异常启动项;修复系统文件补丁,排查内存驻留恶意回调程序。
当前银狐木马持续迭代攻击手段,从传统捆绑转向白利用、内存无文件攻击,瞄准游戏、通讯软件用户实施精准钓鱼。网络安全防护不能仅依赖杀毒软件,建立“官方下载+行为监控+人员意识”三重防线,才能有效抵御此类隐蔽型木马入侵。日常使用电脑时保持警惕,不随意运行来源不明程序,从源头阻断木马传播渠道。


闽公网安备 35021102000564号