6 月 18 日消息,如果你正在使用壁纸引擎(Wallpaper Engine),现在需要提高警惕。卡巴斯基安全研究人员发现,黑客正将恶意程序藏匿于创意工坊(Steam Workshop)的壁纸安装包内,借此窃取用户的 Steam 账号,并在受害者电脑中植入更多恶意软件。不法分子利用 Steam 平台壁纸引擎的高人气诱导用户进入创意工坊页面,借机分发恶意程序。
该攻击手段之所以极易得逞,原因如下:普通壁纸仅为 JPEG、PNG 图片文件,而壁纸引擎中的“应用程序壁纸”本质是可在 Windows 系统运行的可执行文件,和普通软件一样能直接启动,这就成了黑客绝佳的藏毒载体。壁纸引擎虽也支持其他格式壁纸,但本次攻击的主要突破口正是这类“应用程序壁纸”。
一旦用户启动受感染的壁纸,程序便会在设备中植入一款属于暗彗星(DarkKomet)恶意软件家族的后门程序,同时静默安装篡改后的系统库文件,专门盗取用户的 Steam 登录凭证、劫持账号在线会话。攻击者接管 Steam 账号后,会利用该账号上传更多带毒壁纸,持续感染更多电脑,形成恶性循环。
IT之家注意到,卡巴斯基还在受污染文件中检测到多款其他恶意程序,包括 Lumma、Vidar 信息窃取木马、加密货币挖矿程序、僵尸网络加载器以及多种勒索病毒。这意味着不止一伙网络威胁团伙在滥用壁纸引擎这一攻击渠道。卡巴斯基表示,实施攻击的大概率是多名独立黑客,而非单一组织。
研究人员在 Steam 创意工坊中查获数十个遭篡改的壁纸安装包,其中部分下载量已达数万次。本次攻击主要针对中国与俄罗斯用户,德国、新加坡、加拿大、中国香港、印度也出现受害案例。Steam 平台已下架卡巴斯基上报的恶意壁纸,但研究人员警示,黑客很可能已经制作出新的带毒壁纸并上传。
因此,不能将此事视作已结束的单一安全事件,而要认定这是持续存在的网络威胁。如果你近期从不知名创作者处下载过交互式或应用程序类壁纸,请立刻对设备进行全盘病毒查杀,并修改你的 Steam 账号密码;若尚未开启 Steam Guard,建议马上启用。后续下载壁纸时,尽量选择口碑良好、拥有大量社区真实评价的创作者作品。