Steam 上的某游戏被发现安装了窃取密码的恶意软件

一款名为 PirateFi 的免费游戏在 Steam 商店中向不知情的用户传播了 Vidar 信息窃取恶意软件。

这款游戏在 2 月 6 日至 2 月 12 日期间出现在 Steam 目录中，为期近一周，最多有 1500 名用户下载了它。分发服务正在向可能受影响的用户发送通知，建议他们出于谨慎考虑重新安装 Windows。

Steam 上的恶意软件

PirateFi 由 Seaworth Interactive 于上周在 Steam 上发布，并且获得了好评。它被描述为一款设定在低多边形世界中的生存游戏，涉及基地建设、武器制作和食物收集。

然而，本周早些时候，Steam 发现该游戏含有恶意软件，但该服务并未明确具体类型。

“该游戏开发者的 Steam 账号上传到 Steam 的构建版本中包含了疑似恶意软件，” 通知中写道。

“你在这些构建版本处于激活状态时在 Steam 上玩了 PirateFi (3476470)，因此这些恶意文件很可能已经在你的电脑上运行了，” 该服务警告称。

通知接收者的建议措施包括使用最新版杀毒软件运行全系统扫描，检查他们不认识的新安装软件，以及考虑重装操作系统。

受影响的用户还在该游戏的 Steam 社区页面上发布了警告，告知其他人不要启动游戏，因为他们的杀毒软件已将其识别为恶意软件。

SECUINFRA Falcon Team 的 Marius Genheimer 获取了通过 PirateFi 分发的恶意软件样本，并鉴定出这是 Vidar 信息窃取器的一个版本。

“如果你是下载这款‘游戏’的玩家之一：请认为你浏览器、电子邮件客户端、加密货币钱包等保存的凭证、会话 cookie 和机密信息已泄露，”SECUINFRA 建议道。

建议是更改所有可能受影响账户的密码，并在可能的情况下激活多因素身份验证保护。

根据动态分析和 YARA 签名匹配，被识别为 Vidar 的恶意软件被隐藏在一个名为 Pirate.exe 的文件中，作为有效载荷（Howard.exe），并用 InnoSetup 安装程序进行了打包。

Genheimer 告诉 BleepingComputer，威胁行为者多次修改了游戏文件，使用各种混淆技术，并更改了用于凭证窃取的命令与控制服务器。

研究人员认为，PirateFi 名称中的 web3/blockchain/cryptocurrency（网络 3.0/区块链/加密货币）提及是故意为之，目的是吸引特定的玩家群体。

Steam 没有公布受 PirateFi 恶意软件影响的用户数量，但该游戏页面上的统计数据显示，最多可能有 1500 人受到影响。

Steam 商店遭到恶意软件入侵的情况并不常见，但也并非前所未有。2023 年 2 月，Steam 用户成为了恶意《Dota 2》游戏模式的目标，这些恶意模式利用 Chrome 的 n-day 漏洞在玩家电脑上执行远程代码。

2023 年 12 月，当时颇受欢迎的独立策略游戏《Slay the Spire》的一个模组被黑客入侵，黑客向其中注入了一个名为 “Epsilon” 的信息窃取器投放器。

Steam 已经引入了额外的措施，例如基于短信的验证，以保护玩家免受未经授权的恶意更新的侵害，但 PirateFi 事件表明，这些措施还不够充分。

原文始发于微信公众号（风铃Sec）：Steam 上的某游戏被发现安装了窃取密码的恶意软件