優先中伏|Steam遊戲遭惡意程式入侵 Early Bird玩家成黑客新目標
著名遊戲平台 Steam 再次爆出網安事件!一款尚在搶先體驗階段的遊戲《Chemia》遭黑客集團 EncryptHub 植入惡意程式,導致許多玩家在未察覺的情況下下載並中毒。是次事件再度提醒玩家,下載尚未正式發佈的遊戲時需格外小心,也反映 Steam 對早期體驗遊戲的審查機制可能存在漏洞。
根據網安公司 Prodaft 的調查,事件發生於 7 月 22 日,黑客 EncryptHub(亦被稱為 Larva-208)將惡意檔案注入《Chemia》遊戲並上架至 Steam 平台,玩家在下載遊戲時與正常程式一起安裝了惡意軟件。值得注意的是,《Chemia》由 Aether Forge Studios 開發,目前仍處於早期測試(Early Access)階段,尚無公開發售日期。
先後植入兩款惡意軟件
黑客前後植入兩種資訊竊取型惡意軟件,首先將 HijackLoader(CVKRUTNP.exe)加入遊戲檔案的惡意程式。裝置被感染後,該程式會在背景維持持續運作,並從 Telegram 頻道取得指令控制伺服器(C2)位址。隨後,它會再下載另一款知名資訊竊取軟件 Vidar(v9d9d.exe)到本機繼續竊取敏感資訊。
事件發生僅三小時後,黑客又再度透過遊戲的 DLL 檔案將第二波惡意軟件 Fickle Stealer(cclib.dll)植入。該程式會利用 PowerShell 腳本(worker.ps1),連線至 soft-gets[.]com 下載主惡意程式,專門竊取用戶瀏覽器內的帳號密碼、自動填寫資料、Cookies 及虛擬錢包資訊。
Prodaft 指出,這些惡意軟件於用戶遊戲時在背景靜默運作,不影響正常遊戲流程,因此大多玩家完全無法察覺感染。
EncryptHub 黑客團體不僅會攻擊 Windows 零日漏洞,也從事漏洞揭露給微軟的「白帽」工作。他們過去一年還利用類似惡意軟件進行大規模針對企業的網絡釣魚與社交工程攻擊,導致全球超過 600 間企業受害。
疑開發團隊有內鬼
本次事件尤其巧妙在於利用 Steam 作為傳播管道。黑客藉由平台本身的信任度,讓受害者從官方管道下載「看起來完全正常」的遊戲,增強社交工程的成功率。安全專家強調,利誘用戶點擊免費遊戲或搶先體驗,是目前黑客最常見的詐騙手法之一。
目前不清楚黑客如何將惡意檔案成功注入遊戲檔案。有可能是開發團隊有內鬼協助,也可能是外部滲透,但 Aether Forge Studios 至今未於 Steam 或社交平台發表任何官方聲明。Valve(Steam 母公司)和 Chemia 團隊亦未公開回應。直到官方釋出安全公告前,專家強烈建議用戶避免下載或啟動該遊戲。
本次事件是今年 Steam 出現的第三宗類似事件,前兩宗為 3 月發生的《Sniper: Phantom’s Resolution》和 2 月發生的《PirateFi》,同樣均為早期體驗的遊戲。這反映出 Steam 對測試階段遊戲的審核可能較為寬鬆,導致黑客有機可乘。
