北京
想象一下:你花了4.99美元買了Steam上好評率最高的動態壁紙工具,挑了一張酷炫的動畫背景,點下“應用”——你的Steam賬戶就在這個瞬間被別人接管了。幾天后,你的個人主頁悄悄掛上了新的壁紙鏈接,開始替你向其他玩家“帶貨”,只是這次推的不是打折游戲,而是能偷走密碼、挖礦、加密文件的惡意程序。
這不是某個遠未落地的概念驗證,而是卡巴斯基全球研究與分析團隊(GReAT)在近期發布的報告中記錄的一條正在發生的感染鏈。研究人員馬克西姆·斯塔羅杜博夫和丹尼斯·布里列夫追蹤了這場已經持續數月、專攻中國游戲玩家群體的大規模攻擊,發現攻擊者利用一款看起來人畜無害的桌面美化工具,搭建了一條從受害者到新受害者的自動傳播流水線。
問題出在Wallpaper Engine的“應用程序壁紙”這一功能上。這款常年維持在93000到114000名同時在線的盈利工具,支持四種壁紙模式,其中最特殊的一種允許用戶將獨立的Windows可執行程序作為桌面背景運行。也就是說,用戶以為自己在換壁紙,實際上雙擊運行了一個沒有桌面圖標、沒有任務欄入口的隱藏程序。這條天然的代碼執行通道,讓攻擊者省掉了誘騙用戶打開附件的那一步:只要壁紙被加載,惡意代碼就跟著跑了。
卡巴斯基觀察到兩種主要的投遞手法。一部分惡意包直接把有毒的EXE文件、DLL庫或腳本文件塞在合法的壁紙資源旁邊,用戶在啟用壁紙的瞬間,工作目錄下的可執行文件就會隨之啟動。另一部分則更為隱蔽——攻擊者把惡意負載塞進一個加密壓縮包,密碼要么寫在壓縮包的文件名里,要么埋在JSON配置文件中,壁紙加載腳本會自行讀取密碼并解開壓縮包,全程不需要用戶干預。無論哪一種,觸發條件只有一個:用戶下載并加載了這張壁紙。
以去年12月被檢出的一份樣本為例,研究者成功運行了一個表面功能完整的桌面小游戲,而與此同時,系統已經在后臺靜默釋放了DarkKomet后門程序Synaptics.exe和一個遭到篡改的系統庫文件AggregatorHost.dll。這個被動了手腳的庫文件會在內存中定位正在運行的Steam進程,搜索登錄憑據,劫持當前活躍的會話令牌,并把數據外傳到攻擊者控制的指令控制服務器。一旦攻擊者擁有了受害者的會話控制權,就可以直接以該用戶的身份繼續上傳新的帶毒壁紙。這也解釋了為什么平臺方面多次移除有害文件,惡意活動依然能自我再生——每一次清理后,新的感染者會替攻擊者重新播種。
從地理分布來看,卡巴斯基將89%的惡意下載企圖定位在中國境內,俄羅斯占5.5%,其余少量分布在新加坡、香港、德國、越南、印度和加拿大。這一集中度與Wallpaper Engine本身的用戶畫像一致,該工具在中國擁有壓倒性的用戶基數。負載類型覆蓋了DarkKomet后門、Lumma和Vidar信息竊取程序、RenEngine加載器、礦工程序以及勒索軟件,如此寬泛的攻擊工具鏈讓研究團隊判斷,這不是某個單一組織有策略地運作,而是多個獨立攻擊團伙發現了同一條低門檻的攻擊路徑后一擁而上,各自投放自己的武器。
把惡意軟件塞進游戲模組或社區工坊內容,在Valve的平臺生態里并非首次出現。此前被污染過的《殺戮尖塔》模組分發事件已經暴露出用戶生成內容審核鏈條的受力薄弱點。而此次Wallpaper Engine被持續污染長達數月、單款惡意壁紙下載量動輒數千甚至破萬,則進一步把問題從“模組審核夠不夠嚴”推向了更深的層面——當平臺允許一個可執行程序以“美化工具”的名義跑在用戶的機器上時,這個程序究竟是壁紙、是木馬,還是兩者同時成立,在運行之前僅憑肉眼已經無法分辨。壁紙可以動,賬戶也可以丟。那些數萬次下載記錄背后,每一次點擊都可能是一次賬戶控制權的移交。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
