近日，熱門策略游戲《Slay the Spire》的擴(kuò)展版本《Downfall》被黑客入侵。他們利用 Steam 更新系統(tǒng)向玩家推送了 Epsilon 信息竊取惡意軟件。

開發(fā)者 Michael Mayhem 表示：被入侵的軟件包是原游戲的預(yù)包裝獨(dú)立修改版，并非通過 Steam Workshop 安裝的修改版。

最開始是其中一臺(tái)設(shè)備被惡意軟件非法入侵，當(dāng)時(shí)正在運(yùn)行的安全軟件沒能阻止它甚至都沒有做出標(biāo)記。但這并不是一個(gè)盜取密碼的惡意軟件，因?yàn)?2FA 并沒有觸發(fā)或阻止它，而且被入侵的賬戶都在不同的電子郵件地址下（這些地址本身都沒有被盜）。

此外，攻擊者還入侵了《Downfall》開發(fā)者之一的 Steam 和 Discord 賬戶，從而控制了該 MOD 的 Steam 賬戶。Michael Mayhem稱此次事件更像是一種令牌劫持，黑客們專門劫持 Steam 并利用它上傳，但目前這還只是猜測(cè)。

Mayhem 在周三（12月27日）發(fā)表的一份聲明中告知用戶稱：此次安全漏洞允許惡意上傳替換已打包的《Downfall》游戲。如果您確實(shí)在 12月25日的18:30-19:30時(shí)間段內(nèi)曾打開了《Downfall》，并且該游戲向您彈出了 Unity 庫安裝程序，那么您的設(shè)備可能會(huì)出現(xiàn)安全風(fēng)險(xiǎn)。

該惡意軟件會(huì)從設(shè)備中的網(wǎng)絡(luò)瀏覽器（谷歌 Chrome、Yandex、Microsoft Edge、Mozilla Firefox、Brave、Vivaldi）以及 Steam 和 Discord 消息中收集 cookies 和保存的密碼和信用卡信息。

同時(shí)，它還會(huì)查找文件名中包含 "密碼 "的文件，并查找其他憑證，包括本地 Windows 登錄和 Telegram等賬戶信息。

Epsilon惡意軟件收集憑證(Any.run)

Mayhem 建議Downfall用戶立即更改所有重要密碼，尤其是未受2FA（雙因素驗(yàn)證）保護(hù)的賬戶密碼。

有用戶報(bào)告稱：該惡意軟件會(huì)將自己作為 Windows 啟動(dòng)管理器應(yīng)用程序安裝在 AppData 文件夾中，或作為 UnityLibManager 安裝在 /AppData/Roaming 文件夾中。

Epsilon Stealer 是一種通過 Telegram 和 Discord 向其他威脅行為者出售的信息竊取惡意軟件。它通常用于以 Discord 上的游戲玩家為目標(biāo)，以測(cè)試新游戲漏洞為幌子，誘騙他們安裝惡意軟件以換取報(bào)酬。

在安裝游戲后，惡意軟件還會(huì)在后臺(tái)運(yùn)行，竊取用戶的密碼、信用卡信息和身份驗(yàn)證 cookie。竊取的信息要么被威脅者用來入侵更多賬戶，要么在暗網(wǎng)市場(chǎng)上出售。

根據(jù) VirusTotal 數(shù)據(jù)，這次攻擊背后的威脅行為者的目標(biāo)不只是Steam還可能瞄準(zhǔn)了其他游戲和游戲開發(fā)商。

包含相同信息竊取惡意軟件的其他文件（VirusTotal）

Steam加強(qiáng)安全

自 8 月底開始，越來越多被入侵的 Steamworks 賬戶被用來上傳惡意游戲版本，使玩家感染惡意軟件，因此今年 10 月，Valve 宣布現(xiàn)在要求游戲開發(fā)商在 Steam 默認(rèn)發(fā)布分支上推送更新時(shí)進(jìn)行基于短信的安全檢查。

作為安全更新的一部分，任何在已發(fā)布應(yīng)用程序的默認(rèn)/公共分支上設(shè)置構(gòu)建的 Steamworks 帳戶都需要有一個(gè)與其帳戶相關(guān)聯(lián)的電話號(hào)碼，這樣 Steam 才能在繼續(xù)之前給你發(fā)短信確認(rèn)代碼，任何需要添加新用戶的 Steamworks 帳戶都需如此。這一項(xiàng)規(guī)定已經(jīng)于今年10月24日起正式生效。