游戏氪金玩家请注意！近期，360安全大脑发现了一款通过搜索引擎广告位进行大量传播的游戏盗号木马，该木马针对“集结号”棋牌游戏的用户群体进行盗号，对用户的“虚拟财产”可能造成难以估计的损失，360对此进行了深入的追踪和查杀拦截。

接管玩家登录流程  木马暗中窃取虚拟金币

追踪过程中发现，在某搜索引擎中直接搜索“集结号”，搜索结果中有一定的频率会在前两条中出现带广告标记的非官方“集结号”游戏的网址，且该网址均早已被360安全大脑标记为恶意网址进行了拦截。

直接点击打开第一条网址，可见360浏览器对其网站进行了拦截和危险提示：

强制进入该网站，看到页面做的很逼真，高仿正规棋牌游戏网站，实际上点击任意按钮却会弹出同一个下载地址如下所示，下载的文件即是包含盗号木马的“集结号”游戏安装包。

除了直接在搜索引擎中输入“集结号”外，测试过程发现搜索“集结号吧”却可以稳定在第一条搜索记录里看到上述木马钓鱼网址。

然而当我们避开该记录点击进入第二条真正的“集结号吧”网址后，发现这条诱导广告还是紧随而至，标题写着“正版下载集结号”，打开后却依然是那个钓鱼网站，再次被360浏览器拦截。

再次忽略这条广告，查看贴吧里的内容可以了解到一些“集结号”相关的行情。首先关注到这类棋牌游戏还是有不少用户在玩，并且似乎很容易上瘾，甚至很多用户都是往里面充了不少钱，以下帖子为某用户的吐槽：

接着发现贴吧里不少用户在反馈这个行业里经常被骗，似乎有一类专门倒卖“虚拟金币”的代理被称呼为“银商”，很多用户通过不可靠的渠道找他们充值结果被骗了。

​

最后还关注到了，有用户在贴吧里反馈自己的账户无故被盗，虚拟金币被偷走，再次印证了这个圈子里面的乱象丛生。

回到上述的包含盗号木马的钓鱼网站，经过360安全大脑的溯源统计，此类钓鱼网站的传播和拦截实际上由来已久，作案团伙制做了大量的钓鱼页面来进行这种黑色产业，下图所示是从部分钓鱼网址提取的子域名前缀和主域名两个部分，作案特征相对比较明显。

​​​​