#安全资讯 有黑客在 Steam 创意工坊发布大量适用于壁纸引擎的美女图 (擦边内容) 吸引用户下载,里面暗藏后门程序用来窃取玩家的 Steam 账号。此次攻击受害者主要都是在中国,黑客还会使用窃取的 Steam 账号继续在创意工坊里发布内容,因此即便账号被封也能利用其他账号继续发,然后窃取更多账号。查看详情:https://ourl.co/113546
卡巴斯基实验室日前发布报告称从 2025 年年底开始黑客就在利用壁纸引擎 (Wallpaper Engine) 和 Steam 创意工坊传播病毒,壁纸引擎可以将视频或其他动态内容设置壁纸,该软件在 Steam 平台非常受欢迎,而用户则可以自己制作适用于壁纸引擎的主题包发布到 Steam 创意工坊,其他用户可以通过创意工坊下载主题包直接使用。
黑客制作美女图提交到创意工坊用来窃取账号:
卡巴斯基实验室追踪的数据表明,自 2025 年年底开始黑客就将后门程序伪装为游戏主题、系统监控小工具以及部分可能有点擦边球的壁纸,其中部分壁纸非常受欢迎,而用户安装黑客制作的主题包后则会感染后门程序,黑客使用后门程序窃取玩家的 Steam 账号密码,还有些玩家电脑甚至被安装挖矿程序。
部分恶意主题包的下载量超过 1,000 次,个别非常受欢迎的恶意主题包下载次数甚至超过 10,000 次,卡巴斯基的数据显示受害者主要集中在中国和俄罗斯,其中中国用户占比高达 89%,俄罗斯用户占比为 5.5%,其他国家或地区的受害者相对来说就非常少。
黑客的攻击方法如下:
黑客在主题包中添加受感染的 EXE、DLL 或脚本,或将恶意文件放在加密压缩包里,通过壁纸名称或 JSON 配置文件明文提示密码,诱导用户使用压缩管理器解压文件或自动运行,当壁纸运行时也会在后台释放后门程序,然后窃取 Steam 登录凭证发送到黑客控制的 C2 服务器。
黑客服务器使用的 IP 地址为 120.48.156.17 (百度云计算) 和 202.144.192.29 (香港 IPTELEGRAM 东京数据中心),同时黑客还会使用 Dropbox 和谷歌文档用来提供恶意软件包落地页下载,在卡巴斯基向 Steam 报告问题后,Steam 已经删除部分包含恶意程序的主题包。
然而黑客目前还在继续发布更多恶意主题包,尤其是利用已经成功窃取的 Steam 账号发布恶意主题包,这样即便一个或多个账号被 Steam 封禁,黑客也可以继续传播恶意软件,卡巴斯基建议用户下载任何文件都要进行安全扫描,Steam 创意工坊的内容是由用户制作上传的,并非 Steam 官方或游戏 / 软件开发商发布,所以安全性是个问题。
