运营PC游戏平台Steam的Valve于北京时间9月22日,将开发商Genesis Interactive制作的《BlockBlasters》(BlockBlasters)从Steam下架。该作品自称是2D动作游戏,但在北京时间8月31日发布的更新中,被悄悄添加了恶意软件,导致许多用户遭受损失。此事由The Verge等海外媒体报道。
《BlockBlasters》是一款自称2D动作游戏的免费软件,于北京时间7月31日发布。在发布后约一个月内并未表现出可疑行为,在Steam用户评测中,约220条评测里有88%给予好评,获得了“特别好评”的状态。然而,在8月31日的更新中,该游戏分发了窃取用户电脑中加密货币信息的恶意软件,导致许多用户的加密货币被盗。
根据从事加密货币相关调查的扎克XBT(ZachXBT)称,受影响的Steam账户达261个,总损失金额高达15万美元(约合2200万日元)。此外,此前一直在追踪《BlockBlusters》的安全组织VXUnderground报告称,受害者人数已达478名,并公布了相关用户名,呼吁用户采取更改密码等措施。
此次事件被曝光,源于9月21日一位被称为RastalandTV、居住在拉脱维亚的主播莱沃·普拉夫涅克斯(Raivo Plavnieks)遭受损失的瞬间被直播了出来。他身患第四期癌症,正通过直播活动募集用于治疗费用的捐款。捐款目标额为5.5万美元(约合810万日元),在遭受损失时,已募集到约3.2万美元(约合470万日元),达到目标额的约58%,这笔钱与他损失的金额大致相同。
据德国IT安全公司G DATA称,本次事件是采用多阶段、非常巧妙的手段实施的。首先,于7月31日在Steam上发布《BlockBlasters》。此时并未检测到可疑行为,不仅在Steam用户评测中获得了“特别好评”状态,还获得了掌上游戏机Steam Deck的运行保证认证。需要注意的是,即使确认了Steam Deck兼容性并显示为“已验证”,这也仅仅是表明在Steam Deck上能流畅运行的指标,与安全性完全无关。
之后,在大约一个月的时间里,《BlockBlasters》似乎一直被当作普通游戏来玩,但在8月31日的更新中开始分发恶意软件。攻击分为多个阶段,首先执行一个名为“game2.bat”的脚本,收集用户设备的IP地址、位置信息、Steam登录信息以及正在使用的防病毒软件信息,并发送到攻击者的服务器。然后,下载经过加密以避免被察觉内容的文件,并执行新的脚本,收集浏览器扩展和加密货币钱包的信息。
对于仅使用Microsoft Defender作为防病毒软件的用户,在将特定文件夹排除在监控范围之外的操作之后,会继续执行另一个脚本。此时,为了不被用户怀疑,游戏也会被启动以进行伪装。之后还会执行多个脚本和安装程序,最终导致加密货币被盗。
顺便提一下,遭受损失的用户似乎是攻击方有计划地挑选出来的。目标似乎仅限于持有加密货币的人士,可以看作是一种针对特定人物的鱼叉式网络钓鱼诈骗。如前所述,《BlockBlasters》在大约一个月内被认为是一款普通游戏,并且在Steam用户评测中也获得了“特别好评”。攻击者在创造了这些条件,将游戏伪装成普通游戏之后,会向目标用户发送诱导安装游戏的信息。甚至有主播证实,收到了“付费直播合作进行游戏宣传”的私信邀约。
关于开发《BlockBlasters》的Genesis Interactive,除了发布该作品外,并未发现其他明显的活动痕迹。不仅没有官方网站,在社交媒体上也未见该作品的宣传。目前尚不清楚该工作室是专为分发恶意软件而创建的,还是其作品被混入了恶意软件的受害者,但主流观点倾向于认为是前者。
在Steam上,包括《PirateFi》(PirateFi)在内,过去也曾发生过几起分发包含恶意软件的更新等事件。虽然游戏发布时会进行细致的审核,但更新基本上不会经过事先审核,这可以说也是导致本次事件的原因之一。然而,Steam上存在许多像抢先体验版作品那样需要频繁更新的作品,每次更新都进行事先审核的运营模式也存在困难。截至本文撰写时,Valve尚未就此事发表声明,其后续应对措施值得关注。
