近日,热门策略游戏《Slay the Spire》的扩展版本《Downfall》被黑客入侵。他们利用 Steam 更新系统向玩家推送了 Epsilon 信息窃取恶意软件。
开发者 Michael Mayhem 表示:被入侵的软件包是原游戏的预包装独立修改版,并非通过 Steam Workshop 安装的修改版。
最开始是其中一台设备被恶意软件非法入侵,当时正在运行的安全软件没能阻止它甚至都没有做出标记。但这并不是一个盗取密码的恶意软件,因为 2FA 并没有触发或阻止它,而且被入侵的账户都在不同的电子邮件地址下(这些地址本身都没有被盗)。
此外,攻击者还入侵了《Downfall》开发者之一的 Steam 和 Discord 账户,从而控制了该 MOD 的 Steam 账户。Michael Mayhem称此次事件更像是一种令牌劫持,黑客们专门劫持 Steam 并利用它上传,但目前这还只是猜测。
Mayhem 在周三(12月27日)发表的一份声明中告知用户称:此次安全漏洞允许恶意上传替换已打包的《Downfall》游戏。如果您确实在 12月25日的18:30-19:30时间段内曾打开了《Downfall》,并且该游戏向您弹出了 Unity 库安装程序,那么您的设备可能会出现安全风险。
该恶意软件会从设备中的网络浏览器(谷歌 Chrome、Yandex、Microsoft Edge、Mozilla Firefox、Brave、Vivaldi)以及 Steam 和 Discord 消息中收集 cookies 和保存的密码和信用卡信息。
同时,它还会查找文件名中包含 "密码 "的文件,并查找其他凭证,包括本地 Windows 登录和 Telegram等账户信息。
Epsilon恶意软件收集凭证(Any.run)
Mayhem 建议Downfall用户立即更改所有重要密码,尤其是未受2FA(双因素验证)保护的账户密码。
有用户报告称:该恶意软件会将自己作为 Windows 启动管理器应用程序安装在 AppData 文件夹中,或作为 UnityLibManager 安装在 /AppData/Roaming 文件夹中。
Epsilon Stealer 是一种通过 Telegram 和 Discord 向其他威胁行为者出售的信息窃取恶意软件。它通常用于以 Discord 上的游戏玩家为目标,以测试新游戏漏洞为幌子,诱骗他们安装恶意软件以换取报酬。
在安装游戏后,恶意软件还会在后台运行,窃取用户的密码、信用卡信息和身份验证 cookie。窃取的信息要么被威胁者用来入侵更多账户,要么在暗网市场上出售。
根据 VirusTotal 数据,这次攻击背后的威胁行为者的目标不只是Steam还可能瞄准了其他游戏和游戏开发商。
包含相同信息窃取恶意软件的其他文件(VirusTotal)
自 8 月底开始,越来越多被入侵的 Steamworks 账户被用来上传恶意游戏版本,使玩家感染恶意软件,因此今年 10 月,Valve 宣布现在要求游戏开发商在 Steam 默认发布分支上推送更新时进行基于短信的安全检查。
作为安全更新的一部分,任何在已发布应用程序的默认/公共分支上设置构建的 Steamworks 帐户都需要有一个与其帐户相关联的电话号码,这样 Steam 才能在继续之前给你发短信确认代码,任何需要添加新用户的 Steamworks 帐户都需如此。这一项规定已经于今年10月24日起正式生效。
参考链接:Game mod on Steam breached to push password-stealing malware (bleepingcomputer.com)