一款前景光明的独立平台游戏,演变为2025年Steam平台上最令人警惕的恶意软件植入游戏案例之一。据G DATA安全实验室报告,2D射击游戏《BlockBlasters》于2025年8月30日发布的一个补丁(Build 19799326)中植入了恶意文件,这些文件能够窃取凭证、浏览器数据,甚至加密货币钱包信息。
《BlockBlasters》于2025年7月31日上线,获得了积极评价并积累了一定数量的玩家基础。但仅仅一个月后,该更新开始从毫无防备的用户那里窃取敏感数据。
正如报告所解释的:“当用户玩游戏时,游戏运行所在的电脑中的各种信息会被窃取——包括加密货币钱包数据。数百名用户可能已受到影响。”
这一事件与Steam平台上恶意软件隐藏在游戏中的上升趋势相呼应,此前的案例包括PirateFi和Chemia,攻击者在这些案例中向抢先体验版或免费游戏中注入恶意二进制文件。
感染链始于一个名为game2.bat 的可疑批处理文件,它执行了几个对于合法游戏进程来说不常见的恶意功能:
- 通过ipinfo[.]io和ip[.]me收集IP和地理位置信息;
- 检测防病毒软件进程;
- 窃取Steam登录详细信息,包括SteamID、AccountName和PersonaName;
- 将窃取的数据上传至C2服务器hxxp://203[.]188[.]171[.]156:30815/upload;
- 执行隐藏的VBS启动脚本(launch1.vbs 和test.vbs )。
然后,该脚本会在仅Windows Defender处于活动状态时解压受密码保护的压缩包(v1.zip )——这是一种旨在绕过检测的规避技巧。
VBS脚本充当加载器,静默运行额外的批处理文件(1.bat 和test.bat )。
test.bat 脚本会收集浏览器扩展和加密货币钱包信息,并将数据泄露至攻击者的C2服务器。
主批处理文件1.bat 会采取额外步骤禁用保护机制:“它将v3.zip 压缩包中可执行文件的目标文件夹添加到Microsoft Defender Antivirus的排除列表中。这将使安全扫描和行为检查时忽略该目标文件夹。”
随后部署两个关键载荷:
- Client-built2.exe ——一个基于Python的后门程序,连接回同一个C2服务器;
- Block1.exe ——一个StealC恶意软件变体,能够从Chrome、Brave和Edge浏览器中提取存储的数据。
G DATA观察到:“此StealC恶意软件使用RC4加密(多年前已被弃用)来隐藏其API和关键字符串……它连接到另一个C2通道hxxp://45[.]83[.]28[.]99。”
遥测数据显示,自受感染的补丁部署以来,《BlockBlasters》的下载量超过100次,发现问题后仅剩少数活跃玩家。
然而,人力成本更为令人警醒。据vx-underground报道,在一场为癌症治疗举办的慈善直播中,一名主播的系统在直播过程中被实时感染。
《BlockBlasters》案例凸显了一个关键的安全挑战:游戏玩家现在在娱乐平台上面临供应链式威胁。随着恶意软件通过Valve的初始安全筛查,玩家对合法游戏更新的信任正被利用。
正如G DATA所总结的,《BlockBlasters》从Steam下架对那些已被感染的用户来说为时已晚——但这鲜明地提醒我们,恶意软件不再局限于可疑下载渠道;它正在渗透到主流平台。
发表评论
您还未登录,请先登录。
登录