Steam热门游戏遭破解,玩家需警惕安全风险
2023-12-29 10:40:57 Author: www.freebuf.com(查看原文) 阅读量:8 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

1703816501_658e2d35f3240c5a2d2b7.png!small

近日,热门策略游戏《Slay the Spire》的扩展版本《Downfall》被黑客入侵。他们利用 Steam 更新系统向玩家推送了 Epsilon 信息窃取恶意软件。

开发者 Michael Mayhem 表示:被入侵的软件包是原游戏的预包装独立修改版,并非通过 Steam Workshop 安装的修改版。

最开始是其中一台设备被恶意软件非法入侵,当时正在运行的安全软件没能阻止它甚至都没有做出标记。但这并不是一个盗取密码的恶意软件,因为 2FA 并没有触发或阻止它,而且被入侵的账户都在不同的电子邮件地址下(这些地址本身都没有被盗)。

此外,攻击者还入侵了《Downfall》开发者之一的 Steam 和 Discord 账户,从而控制了该 MOD 的 Steam 账户。Michael Mayhem称此次事件更像是一种令牌劫持,黑客们专门劫持 Steam 并利用它上传,但目前这还只是猜测。

Mayhem 在周三(12月27日)发表的一份声明中告知用户称:此次安全漏洞允许恶意上传替换已打包的《Downfall》游戏。如果您确实在 12月25日的18:30-19:30时间段内曾打开了《Downfall》,并且该游戏向您弹出了 Unity 库安装程序,那么您的设备可能会出现安全风险。

该恶意软件会从设备中的网络浏览器(谷歌 Chrome、Yandex、Microsoft Edge、Mozilla Firefox、Brave、Vivaldi)以及 Steam 和 Discord 消息中收集 cookies 和保存的密码和信用卡信息。

同时,它还会查找文件名中包含 "密码 "的文件,并查找其他凭证,包括本地 Windows 登录和 Telegram等账户信息。

1703819037_658e371decf2d216ff0f7.png!small?1703819038241

Epsilon恶意软件收集凭证(Any.run)

Mayhem 建议Downfall用户立即更改所有重要密码,尤其是未受2FA(双因素验证)保护的账户密码。

有用户报告称:该恶意软件会将自己作为 Windows 启动管理器应用程序安装在 AppData 文件夹中,或作为 UnityLibManager 安装在 /AppData/Roaming 文件夹中。

Epsilon Stealer 是一种通过 Telegram 和 Discord 向其他威胁行为者出售的信息窃取恶意软件。它通常用于以 Discord 上的游戏玩家为目标,以测试新游戏漏洞为幌子,诱骗他们安装恶意软件以换取报酬。

在安装游戏后,恶意软件还会在后台运行,窃取用户的密码、信用卡信息和身份验证 cookie。窃取的信息要么被威胁者用来入侵更多账户,要么在暗网市场上出售。

根据 VirusTotal 数据,这次攻击背后的威胁行为者的目标不只是Steam还可能瞄准了其他游戏和游戏开发商。

1703819151_658e378f559e7541d4e3f.png!small?1703819151959

包含相同信息窃取恶意软件的其他文件(VirusTotal)

Steam加强安全

自 8 月底开始,越来越多被入侵的 Steamworks 账户被用来上传恶意游戏版本,使玩家感染恶意软件,因此今年 10 月,Valve 宣布现在要求游戏开发商在 Steam 默认发布分支上推送更新时进行基于短信的安全检查。

作为安全更新的一部分,任何在已发布应用程序的默认/公共分支上设置构建的 Steamworks 帐户都需要有一个与其帐户相关联的电话号码,这样 Steam 才能在继续之前给你发短信确认代码,任何需要添加新用户的 Steamworks 帐户都需如此。这一项规定已经于今年10月24日起正式生效。

参考链接:Game mod on Steam breached to push password-stealing malware (bleepingcomputer.com)


文章来源: https://www.freebuf.com/news/388252.html
如有侵权请联系:admin#unsafe.sh