HackerNews 编译,转载请注明出处:
威胁组织EncryptHub(又名Larva-208)通过入侵Steam平台游戏《Chemia》,向不知情用户分发信息窃取类恶意软件。
近日,该黑客组织将恶意二进制文件植入由“Aether Forge Studios”开发的生存制作类游戏《Chemia》中。该游戏目前以“抢先体验”形式登陆Steam,尚未公布正式发行日期。
据威胁情报公司Prodaft分析,攻击始于7月22日。EncryptHub在游戏文件中添加了恶意软件HijackLoader(文件名CVKRUTNP.exe),该程序在受害设备上建立持久化机制,并下载信息窃取程序Vidar(文件名v9d9d.exe)。研究人员发现,恶意软件通过某Telegram频道获取命令与控制(C2)服务器地址。
三小时后,攻击者再次通过DLL文件(cclib.dll)植入第二款恶意软件Fickle Stealer。该文件利用PowerShell脚本(worker.ps1)从域名soft-gets[.]com获取主载荷。Fickle Stealer专门窃取浏览器存储数据,包括账户凭证、自动填充信息、Cookie及加密货币钱包数据。该恶意软件去年曾被EncryptHub用于大规模鱼叉式钓鱼攻击,导致全球超六百家组织沦陷。
此威胁组织在黑客领域行为特殊:既恶意利用Windows零日漏洞,又曾向微软负责任的披露关键漏洞。Prodaft在报告中指出:“被篡改的可执行文件对Steam用户显示为合法程序,这种攻击依赖平台信任而非传统欺骗手段,形成高效的社会工程陷阱。当用户在免费游戏中点击《Chemia》的‘测试版’时,实际下载的是恶意软件。”
恶意软件在后台静默运行,不影响游戏性能,玩家难以察觉异常。目前尚不清楚EncryptHub如何将恶意文件植入游戏项目,推测可能有内部人员协助。游戏开发商未在Steam页面或社交媒体发布任何声明。
截至发稿,《Chemia》仍可于Steam下载,无法确认最新版本是否已清除恶意代码。建议用户等待Steam官方公告前避免接触该游戏。
此为Steam平台2025年第三起恶意软件事件:此前3月《Sniper: Phantom’s Resolution》与2月《PirateFi》均曾中招。三款游戏均为“抢先体验”阶段作品,表明Steam对此类内容的审核机制可能存在疏漏。用户下载开发中游戏时需保持警惕。
本次攻击的入侵指标(IOC)已公开。
消息来源:bleepingcomputer;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
