生存製作遊戲 Chemia 因資安研究人員發現其散佈竊取加密錢包資訊及瀏覽器資料的惡意軟體,已被 Steam 下架。該惡意軟體與一個名為 EncryptHub(亦稱 Larva-208)的已知網路犯罪組織有關。Chemia 遊戲透過搶先體驗(Early Access)計畫在 Steam 上發售,該計畫允許玩家遊玩仍在開發中的遊戲。
Steam Removes Chemia After Hack
惡意軟體植入 Steam 遊戲檔案
根據資安公司 Prodaft 發布的報告,Chemia 遊戲檔案於 7 月 22 日被修改,植入了三種不同類型的惡意軟體:HijackLoader、Vidar Stealer 和 Fickle Stealer。這些惡意軟體常用於竊取使用者的敏感資訊,包括儲存在瀏覽器中的憑證、Cookie 以及數位錢包金鑰。
HijackLoader 透過在背景靜默運行,讓攻擊者得以入侵受感染的系統。Vidar Stealer 和 Fickle Stealer 則進一步針對基於瀏覽器的儲存空間和與加密貨幣相關的檔案,以提取個人資料。由於這些工具並未顯著影響遊戲效能,大多數玩家並未察覺到系統已被入侵。
Steam Removes Chemia After Hack
攻擊目標為 Telegram 與遠端伺服器
Prodaft 的分析顯示,該惡意軟體使用 Telegram 作為命令與控制(command-and-control)通道。透過此設置,攻擊者能夠遠端發送指令並控制受感染的電腦。額外的惡意檔案透過特定的可執行檔和腳本下載,包括 Vidar Stealer 使用的檔案 v9d9d.exe,以及 Fickle Stealer 使用的動態連結函式庫 cclib.dll 和 PowerShell 腳本 worker.ps1 的組合。
這些檔案從一個被識別為 soft-gets[.]com 的外部網站下載程式碼。此遠端基礎設施讓惡意軟體能夠保持活躍和適應性,同時也讓攻擊者能夠隨時更新惡意元件,進一步增加偵測和移除的難度。
Steam Removes Chemia After Hack
Steam 未發布官方聲明即下架遊戲
在發現此事件後,Valve 已將 Chemia 從 Steam 商店移除。目前,該遊戲的商店頁面已不存在,並將玩家重新導向至平台首頁。Valve 並未就此次下架發布公開聲明,Chemia 的開發商 Aether Forge Studios 也未發表任何評論。媒體(包括 BleepingComputer)已聯繫雙方,但均未收到回應。
該遊戲透過 Steam 的搶先體驗計畫發售,該計畫先前曾因安全和內容審核較不嚴格而受到批評。由於此類遊戲仍在開發階段,可能更容易受到未經授權的程式碼變更或審核流程不足的影響。
Steam’s Early Access Program
其他搶先體驗遊戲亦發現惡意軟體
此事件並非孤例。今年稍早,Steam 上另外兩款搶先體驗遊戲(Sniper: Phantom's Resolution 和 PirateFi)也被發現含有有害軟體。PirateFi 被描述為一款內建加密貨幣功能的 web3 遊戲,而 Chemia 和 Sniper: Phantom's Resolution 則是標準的 PC 遊戲,不含區塊鏈元素。這三款遊戲均以搶先體驗形式發售,引發了對 Steam 現有系統是否提供足夠安全措施以防止透過未經驗證或開發中遊戲散佈惡意軟體的擔憂。
Sniper: Phantom's Resolution
EncryptHub 是誰?
與 Chemia 事件相關的 EncryptHub 組織,先前曾利用類似的惡意軟體組合發動大規模釣魚攻擊。在一個有記錄的案例中,他們的行動影響了全球超過 600 個組織。根據 Prodaft 的說法,該組織近期利用 Steam 作為散佈平台,是其早期技術的演變,專注於利用玩家對信譽良好服務的信任。
Prodaft 的報告指出,遊戲的可執行檔在玩家直接從 Steam 下載時看起來是合法的。這種方法繞過了傳統的釣魚手法,而是透過值得信賴的數位商店進行社群工程。研究人員強調,下載免費遊戲或參與公開測試的玩家尤其面臨風險,因為他們可能在不知情的情況下下載並安裝惡意軟體,誤以為是無害遊戲的一部分。
EncryptHub
遊戲領域的惡意軟體攻擊日益增加
針對電子遊戲的資安威脅正在不斷增加。Statista 的數據顯示,過去十年來惡意軟體感染率增加了 87%。此外,Cybersecurity Ventures 估計,到 2025 年,全球網路犯罪的成本將達到 10.5 兆美元,是 2015 年的三倍多。擁有龐大用戶群的數位平台,如 Steam,由於使用者的高度信任,正成為頻繁的攻擊目標。
涉及數位貨幣或 web3 服務的玩家在此類情況下尤其脆弱。當遊戲在背景默默竊取錢包金鑰或登入憑證時,財務影響可能立竿見影且嚴重。Chemia 事件凸顯了對於同時服務於遊戲和技術愛好者受眾的平台,需要更強的驗證流程。
Hacks in Web3 Data from DappRadar
建議與現況
目前,Chemia 已不再可在 Steam 上下載。然而,資安專家警告,在遊戲被移除前已安裝該遊戲的玩家,其系統可能仍受感染。建議這些玩家使用更新的防毒軟體掃描電腦,並監控其加密錢包和個人帳戶是否有任何異常活動。
目前尚不清楚 EncryptHub 如何取得遊戲檔案。正在調查的一種可能性是內部協助,但尚未得到證實。Aether Forge Studios 並未透過官方管道或社群媒體發布任何更新或回應。
與惡意軟體相關的完整技術指標,包括檔案名稱、網域和檔案行為,已由 Prodaft 在其官方 GitHub 頁面上發布。鼓勵可能遇到該遊戲的使用者和系統管理員查閱此資源,以獲取詳細分析和偵測支援。
