← 返回信息流
AI 资讯Hacker News·1 小时前

Steam恶意壁纸窃取账号 玩家需警惕

原标题:Gamers beware: malicious wallpapers on Steam found stealing accounts

速览

近期在Steam平台上发现存在恶意壁纸软件,这些软件在伪装成正常壁纸的同时,暗中窃取用户的账号凭证。这一事件提醒广大游戏玩家,在安装和下载第三方壁纸工具时务必保持警惕,仔细甄别软件来源与权限,以保护个人账号安全。

AI 深度解读

警惕:Steam 创意工坊恶意壁纸正在窃取账号

背景

自 2025 年底以来,Steam 创意工坊(Steam Workshop)——这一游戏平台内置的用于玩家创建和分享自定义内容的服务——正经历恶意软件的快速蔓延。攻击者主要将目标锁定在中国和俄罗斯的玩家,旨在劫持其 Steam 账号。

为了达成这一目的,攻击者利用了 Steam 上流行的动态壁纸应用 Wallpaper Engine,特别是其创意工坊分享功能。恶意代码被隐藏在用户之间共享的壁纸包中。运行这些被篡改的壁纸不仅可能导致 Steam 账号被盗,还会使受害者的系统被植入后门程序或加密挖矿程序。

核心内容

Wallpaper Engine 及其风险机制

Wallpaper Engine 是一款允许用户在桌面上设置动态壁纸的应用,支持 Windows 和 Android 平台(本次调查主要聚焦于 Windows 版本)。得益于庞大的 Steam 社区,该应用拥有约 10 万日活跃用户和近百万条评价。它内置编辑器,支持多种壁纸类型:

  • 视频:MP4、WebM 等常见视频格式。
  • 场景:在应用编辑器内构建的交互式壁纸。
  • 网页:由 JavaScript 和 CSS 驱动的 HTML 页面,可包含音视频元素。
  • 应用程序:将第三方 Windows 兼容软件的活跃窗口设置为桌面背景。

其中,“应用程序”类型的壁纸风险最高,因为它们本质上是独立的程序。这些壁纸可以是直接在桌面上运行的迷你游戏、规划器、日历、系统监视器,或跟踪 CPU/GPU 使用率的组件。这种机制允许外部代码直接在用户计算机上运行,为网络罪犯提供了嵌入恶意软件的可乘之机。

由于 Wallpaper Engine 依赖 Steam 创意工坊进行内容分享,任何人都可以创建并发布壁纸供社区免费下载。这种开放架构自然成为了不良分子的聚集地。

恶意传播手法

研究人员在 Steam 创意工坊中发现了数十种恶意“应用程序”壁纸,每种已被下载数千甚至数万次。分析显示,攻击者主要采用两种传播方式:

  1. 压缩包内含可执行文件:恶意负载通常包含被篡改的 EXE 文件、DLL 文件或恶意脚本,与壁纸可执行文件打包在一起。
  2. 密码保护的隐藏载荷:攻击者将恶意软件隐藏在受密码保护的压缩包中。受害者可能被诱导输入密码,或通过脚本自动处理。密码通常以明文形式隐藏在压缩包名称或随壁纸文件安装的 JSON 配置文件中。

一旦用户选择并应用壁纸,恶意负载便会自动触发。

感染案例分析

研究人员在 2025 年 12 月发现的一个游戏壁纸样本具有极强的隐蔽性。表面上,该壁纸运行流畅,桌面控制正常,毫无可疑之处。但在后台,完整的感染过程正在进行:

  1. 植入后门:壁纸启动后,会在受害者系统中释放一个名为 Synaptics.exe 的后门文件,该文件属于 DarkKomet 恶意软件家族。
  2. 伪装启动:同时,一个名为 ._cache_GAME1.exe 的可执行文件启动,用于运行真正的游戏(如 NTRaholic)。
  3. 凭证窃取._cache_GAME1.exe 模块“身兼数职”,它会安装一个自定义版本的系统库 AggregatorHost.dll,其中包含恶意负载。该修改后的库旨在定位计算机上的 Steam 应用并搜寻账号凭证。
  4. 会话劫持与数据外传:修改后的库劫持用户当前的 Steam 会话,并将收集到的所有数据发送到黑客控制的服务器 http://120.48.156[.]17/ey.php
  5. 二次传播:一旦攻击者控制了活跃会话,他们就可以利用受害者的账号向 Steam 创意工坊上传更多恶意壁纸,形成病毒式传播。

攻击归因与受害者分布

由于使用的工具种类繁多,研究人员推测这并非单一黑客团伙所为,而是多个分散、独立的黑客组织纷纷效仿这一趋势。

  • 主要目标:中国玩家。壁纸的艺术风格和标题专门针对中国用户定制。安全系统数据显示,高达 89% 的恶意下载尝试发生在中国。
  • 次要目标:俄罗斯以 5.5% 的下载量位居第二。其他国家和地区包括新加坡(1.4%)、香港(0.9%)、德国(0.9%)、越南(0.9%)、印度(0.5%)和加拿大(0.5%)。

攻击者完全有能力转向其他全球市场发起类似活动。

威胁检测与缓解

本次调查识别出的威胁包括旧有的知名恶意软件,如 DarkKometLummaVidar 信息窃取器,以及 RenEngine 加载器。Kaspersky 解决方案通过主动安全层能够轻松识别并阻止这些负载。

具体的威胁检测 verdicts 包括:

  • HEUR:Trojan-PSW.Win32.gen
  • HEUR:Trojan-PSW.Win32.Python.gen
  • HEUR:Backdoor.Win32.DarkKomet
  • Trojan-Dropper.Python.Agent
  • HEUR:Trojan-Ransom.Win32.Gen.gen
  • PDM:Trojan.Win32.Generic.

截至文章发布,Steam 团队已从平台中清除了已识别的恶意壁纸和链接。然而,鉴于新感染的壁纸不断出现,用户不应完全依赖 Steam 的审核机制。

关键要点

  • 高危入口:Steam 创意工坊中的 Wallpaper Engine “应用程序”类型壁纸是恶意软件传播的主要载体,因其允许运行外部代码。
  • 双重伪装:攻击者常将恶意负载隐藏在看似正常的游戏或工具壁纸中,利用 ._cache_ 等文件名混淆视听,并在后台静默窃取凭证。
  • 凭证窃取机制:恶意软件通过修改系统库(如 AggregatorHost.dll)来劫持活跃的 Steam 会话,并将数据发送至 C2 服务器,进而实现账号劫持和二次传播。
  • 地域针对性:当前攻击高度针对中国玩家(占 89%),使用定制化的艺术风格和标题,但威胁具有全球扩散潜力。
  • 多团伙作案:由于恶意软件变种多样(涵盖信息窃取器、后门、挖矿程序等),推测为多个独立黑客组织利用同一漏洞进行的协同或跟风攻击。
  • 用户防护建议:在安装创意工坊内容前,务必运行杀毒软件扫描。不要轻信“免费”且来源不明的动态壁纸,特别是那些要求运行外部程序或包含复杂配置文件的壁纸。

意义与影响

此次事件揭示了游戏平台内置的“用户生成内容”(UGC)生态系统存在严重的安全隐患。Steam 创意工坊作为连接开发者与玩家的桥梁,其审核机制在面对精心伪装的恶意软件时显得力不从心。

  1. 平台信任危机:即使是像 Steam 这样拥有庞大用户基础和安全团队的平台,也无法完全杜绝恶意内容的渗透。这要求用户从“信任平台”转向“验证内容”,提高了普通用户的安全门槛。
  2. 供应链攻击的平民化:攻击者利用合法的软件功能(动态壁纸)作为攻击向量,使得恶意软件的分发更加隐蔽和高效。这种“合法外壳+恶意内核”的模式可能在其他支持插件或自定义内容的平台(如 Discord、Roblox 等)中重演。
  3. 地缘政治与网络犯罪结合:攻击者针对特定地区(如中国)进行定制化投放,表明网络犯罪日益精细化和本地化。这不仅增加了检测难度,也暗示了背后可能存在具有特定动机的黑客组织。
  4. 安全意识教育紧迫性:大多数用户仅关注壁纸的视觉效果,而忽视了其背后的技术实现(如 JavaScript、可执行文件)。此次事件提醒科技社区,需要加强对非技术用户的安全教育,特别是关于“应用程序壁纸”潜在风险的科普。

用户应立即检查已安装的 Wallpaper Engine 内容,并对任何要求额外权限或来源不明的壁纸保持警惕。

相关推荐

查看原文 →securelist.com