最新發現,Steam 商店中一款名爲 PirateFi 的免費遊戲一直在向用戶傳播 Vidar 信息竊取惡意軟件。
在 2 月 6 日至 2 月 12 日期間,這款遊戲在 Steam 目錄中出現了近一周的時間,并被多達 1500 名用戶下載。分發服務正在向可能受到影響的用戶發送通知,建議他們重新安裝 Windows。
Steam 上的惡意軟件
上周,Seaworth Interactive 在 Steam 上發布了《PirateFi》,并獲得了積極評價。它被描述爲一款以低多邊形世界爲背景的生存遊戲,涉及基地建設、武器制作和食物收集。
PirateFi 的 Steam 頁面
本周,Steam 發現這款遊戲含有惡意軟件,但并未指明具體類型。通知中寫道:" 這款遊戲開發者的 Steam 賬戶上傳了包含可疑惡意軟件的構建。"
用戶在 Steam 上玩 PirateFi(3476470)時,這些構建是活躍的,所以這些惡意文件很可能在用戶的計算機上啓動。Steam 建議用戶使用最新的防病毒軟件運行完整的系統掃描,檢查他們不認識的新安裝的軟件,并考慮操作系統格式。
Steam 對受影響用戶的通知
受影響的用戶還在遊戲的 Steam 社區頁面上發布了安全提醒,通知其他人不要啓動該遊戲,因爲他們的殺毒軟件将其識别爲惡意軟件。
SECUINFRA Falcon Team 的 Marius Genheimer 獲得了通過 PirateFi 傳播的惡意軟件樣本,并将其識别爲 Vidar 僞造軟件的一個版本。
SECUINFRA 建議:" 如果你是下載這個 " 遊戲 " 的玩家之一:考慮保存在浏覽器、電子郵件客戶端、加密貨币錢包等中的憑據、會話 cookie 和秘密被洩露。" 建議用戶更改所有可能受影響帳戶的密碼,并在可能的情況下激活多因素身份驗證保護。
基于動态分析和 YARA 簽名匹配,該惡意軟件被識别爲 Vidar,隐藏在一個名爲 Pirate.exe 的文件中,作爲有效載荷(Howard.exe),與 InnoSetup 安裝程序打包在一起。
攻擊者多次修改遊戲文件,使用各種混淆技術,并更改命令和控制服務器以獲取憑據。研究人員認爲,PirateFi 名稱中提到的 web3/ b 區塊鏈 / 加密貨币是有意爲之,目的是吸引特定的玩家群體。
Steam 并沒有公布有多少用戶受到了 PirateFi 惡意軟件的影響,但遊戲頁面上的統計數據顯示,可能有多達 1500 人受到了影響。
惡意軟件滲透 Steam 商店并不常見,但也不是沒有先例。在 2023 年 2 月,Steam 用戶受到了惡意 Dota 2 遊戲模式的攻擊,該模式利用 Chrome n-day 漏洞在玩家的計算機上執行遠程代碼執行。
2023 年 12 月,當時很受歡迎的獨立策略遊戲《Slay the Spire》的一個 mod 被黑客入侵,黑客将 "Epsilon" 信息傳輸器注入其中。
目前 Steam 已經引入了其他措施,如開啓短信驗證等,以保護玩家免受未經授權的惡意更新,但 PirateFi 的案例表明,目前這些措施還遠遠不夠。
