抗癌博主救命钱被盗,Steam游戏竟成木马,玩家需谨慎
“仅仅玩了一款游戏,自己治病的救命钱就不见了”,这并非电影情节,而是不久前真实发生在海外游戏主播“RastalandTV”身上的事。这位主播在社交平台发文称,他为了抗癌收到价值超过32000美元的加密货币捐款,在安装了一款名为《BlockBlasters》的Steam游戏后,这笔捐款被盗走。
癌症、捐款、加密货币、Steam这些元素凑在一起,自然引起了大量海外网友的关注。随后安全研究人员发现,有相同遭遇的《BlockBlasters》玩家超过260个,被盗金额超过15万美元。此次受害者众多,是因为《BlockBlasters》本身是Steam近期排名快速上升的免费游戏,上线近两个月就累计获得了数百条“特别好评”。
《BlockBlasters》是一款2D像素风的动作冒险游戏,体验过的玩家表示,“这是一款玩法很经典的动作冒险闯关类游戏”。所以,对于一款质量不错的免费休闲游戏来说,吸引一批用户并不奇怪。可惜的是,《BlockBlasters》的玩家没想到,开发者竟心怀不轨。
据安全研究人员事后分析,《BlockBlasters》的开发者处心积虑,通过社交平台接触管理大量加密资产的用户,并邀请他们下载游戏,提前筛选出特定人群。8月30日,开发者上传Build 19799326补丁,这个恶意补丁包含多个危险文件,把看似正常的游戏更新变成了窃取敏感数据的工具,从而盗取受害者电脑里的加密货币钱包信息、浏览器凭证以及Steam登录详情。
对于普通玩家来说,《BlockBlasters》开发者的这些手段效果不佳,因为他们电脑里最有价值的往往是工作、学习资料。针对这类有价值的数据,黑客圈常用“勒索病毒”。但由于“勒索病毒”太有名,通过Steam审查难度大,而《BlockBlasters》的这个恶意补丁绕过了Steam的初始安全筛查机制。
实际上,这不是Steam第一次出现恶意游戏。今年2月,一款名为《PirateFi》的游戏以Beta测试身份登录该平台,攻击者通过内置恶意程序劫持浏览器cookie实现“无密码登陆”,获取保存Steam账号信息的ssfn文件,最终窃取了用户包括Steam点数等虚拟资产。
有意思的是,自2023年10月起,Steam宣布实施开发者双因素认证,目的是遏制黑客恶意窃取游戏开发商Steam身份、分发恶意软件的行为。以往也有Steam游戏被黑客当作攻击玩家的跳板,但这次不同,因为黑客本身就是游戏开发者。
双因素认证是过去几年许多厂商大力推广的新型防护手段,它要求用户登录时除提交密码外,还要出示另一个身份认证因素,比如知名的网易将军令,以及端游时代和实体充值卡捆绑的数字密保卡。实际上,双因素认证的效果经过了实战检验,微软的数据显示,双因素认证可阻止99.9%的账号接管攻击(ATO)。
当然,这次《BlockBlasters》玩家受害事件,不是黑客为盗窃加密货币而专门开发游戏,而是游戏开发者冒险作案。
游戏开发者会成为黑客吗?这并非不可能,因为AI赋能万物,如今“黑产”也在AI帮助下有了很大变化。
由于AI大大降低了网络攻击的技术门槛,不懂代码和技术的人也能利用相关工具成为黑客。比如通过生成式AI,攻击者能轻松生成有迷惑性的钓鱼邮件、制作逼真的虚假网站,从而发动网络钓鱼攻击,甚至能突破大模型开发者预设的“电子围栏”,让AI大模型生成病毒代码。
安全公司Check Point此前发现,2024年底出现、攻击模式老套的FunkSec病毒,很可能是AI的“作品”。简单来说,游戏开发者想作恶可能就在一念之间。估计Valve自己都没想到,有一天游戏开发者和黑客这两个完全不同的身份能无缝转换。
通常,Steam以及App Store、Google Play等平台对应用的审查是先紧后松,新应用、新游戏会被严格监管,老应用的增量更新受到的关注则少很多。
这件事发生后,Steam玩家确实要谨慎些,下载新游戏前最好调查开发者背景,警惕无官网、无社区、无发言记录的“三无开发者”,并尽量减少相关权限的授予。
本文来自微信公众号“三易生活”(ID:IT - 3eLife),作者:三易菌,36氪经授权发布。
本文仅代表作者观点,版权归原创者所有,如需转载请在文中注明来源及作者名字。
免责声明:本文系转载编辑文章,仅作分享之用。如分享内容、图片侵犯到您的版权或非授权发布,请及时与我们联系进行审核处理或删除,您可以发送材料至邮箱:service@tojoy.com