想象一下:你花了4.99美元买了Steam上好评率最高的动态壁纸工具,挑了一张酷炫的动画背景,点下“应用”——你的Steam账户就在这个瞬间被别人接管了。几天后,你的个人主页悄悄挂上了新的壁纸链接,开始替你向其他玩家“带货”,只是这次推的不是打折游戏,而是能偷走密码、挖矿、加密文件的恶意程序。
这不是某个远未落地的概念验证,而是卡巴斯基全球研究与分析团队(GReAT)在近期发布的报告中记录的一条正在发生的感染链。研究人员马克西姆·斯塔罗杜博夫和丹尼斯·布里列夫追踪了这场已经持续数月、专攻中国游戏玩家群体的大规模攻击,发现攻击者利用一款看起来人畜无害的桌面美化工具,搭建了一条从受害者到新受害者的自动传播流水线。
问题出在Wallpaper Engine的“应用程序壁纸”这一功能上。这款常年维持在93000到114000名同时在线的盈利工具,支持四种壁纸模式,其中最特殊的一种允许用户将独立的Windows可执行程序作为桌面背景运行。也就是说,用户以为自己在换壁纸,实际上双击运行了一个没有桌面图标、没有任务栏入口的隐藏程序。这条天然的代码执行通道,让攻击者省掉了诱骗用户打开附件的那一步:只要壁纸被加载,恶意代码就跟着跑了。
卡巴斯基观察到两种主要的投递手法。一部分恶意包直接把有毒的EXE文件、DLL库或脚本文件塞在合法的壁纸资源旁边,用户在启用壁纸的瞬间,工作目录下的可执行文件就会随之启动。另一部分则更为隐蔽——攻击者把恶意负载塞进一个加密压缩包,密码要么写在压缩包的文件名里,要么埋在JSON配置文件中,壁纸加载脚本会自行读取密码并解开压缩包,全程不需要用户干预。无论哪一种,触发条件只有一个:用户下载并加载了这张壁纸。
以去年12月被检出的一份样本为例,研究者成功运行了一个表面功能完整的桌面小游戏,而与此同时,系统已经在后台静默释放了DarkKomet后门程序Synaptics.exe和一个遭到篡改的系统库文件AggregatorHost.dll。这个被动了手脚的库文件会在内存中定位正在运行的Steam进程,搜索登录凭据,劫持当前活跃的会话令牌,并把数据外传到攻击者控制的指令控制服务器。一旦攻击者拥有了受害者的会话控制权,就可以直接以该用户的身份继续上传新的带毒壁纸。这也解释了为什么平台方面多次移除有害文件,恶意活动依然能自我再生——每一次清理后,新的感染者会替攻击者重新播种。
从地理分布来看,卡巴斯基将89%的恶意下载企图定位在中国境内,俄罗斯占5.5%,其余少量分布在新加坡、香港、德国、越南、印度和加拿大。这一集中度与Wallpaper Engine本身的用户画像一致,该工具在中国拥有压倒性的用户基数。负载类型覆盖了DarkKomet后门、Lumma和Vidar信息窃取程序、RenEngine加载器、矿工程序以及勒索软件,如此宽泛的攻击工具链让研究团队判断,这不是某个单一组织有策略地运作,而是多个独立攻击团伙发现了同一条低门槛的攻击路径后一拥而上,各自投放自己的武器。
把恶意软件塞进游戏模组或社区工坊内容,在Valve的平台生态里并非首次出现。此前被污染过的《杀戮尖塔》模组分发事件已经暴露出用户生成内容审核链条的受力薄弱点。而此次Wallpaper Engine被持续污染长达数月、单款恶意壁纸下载量动辄数千甚至破万,则进一步把问题从“模组审核够不够严”推向了更深的层面——当平台允许一个可执行程序以“美化工具”的名义跑在用户的机器上时,这个程序究竟是壁纸、是木马,还是两者同时成立,在运行之前仅凭肉眼已经无法分辨。壁纸可以动,账户也可以丢。那些数万次下载记录背后,每一次点击都可能是一次账户控制权的移交。
热门跟贴