کابوس ارز دیجیتال در Steam: بدافزار پنهان در والپیپرهای انیمه افشا شد

محققان امنیتی هشدار می‌دهند: Steam Wallpaper Engine برای انتشار بدافزار سرقت ارز دیجیتال مورد سوءاستفاده قرار گرفته است

محققان امنیتی یک کمپین فزاینده مجرمانه سایبری را کشف کرده‌اند که کاربران Steam Wallpaper Engine، یکی از محبوب‌ترین اپلیکیشن‌های تصویر زمینه زنده در پلتفرم Steam، را هدف قرار می‌دهد.

بر اساس اعلام شرکت امنیت سایبری Kaspersky، مهاجمان از سیستم توزیع Steam Workshop سوءاستفاده می‌کنند تا تصاویر زمینه متحرک مخرب را که در قالب محتوای قانونی پنهان شده‌اند، آپلود و توزیع کنند. این فایل‌ها اغلب دارای طرح‌های جذاب بصری، از جمله شخصیت‌های به سبک انیمه، هستند تا دانلودها را جذب کرده و میزان تعامل را افزایش دهند.

گزارش‌ها حاکی است که برخی از تصاویر زمینه آلوده هزاران تا ده‌ها هزار نصب داشته‌اند، که نشان می‌دهد چگونه پلتفرم‌های معتبر می‌توانند برای توزیع گسترده بدافزار مورد استفاده قرار گیرند.

بدافزار چگونه منتشر می‌شود

زنجیره حمله نسبتاً ساده اما بسیار مؤثر است.

مجرمان سایبری بسته‌های تصویر زمینه به ظاهر بی‌خطر را در Steam Workshop آپلود می‌کنند و آن‌ها را به صورت زیر معرفی می‌نمایند:

• تصاویر زمینه متحرک دسکتاپ
• تم‌های پس‌زمینه زنده
• بسته‌های بصری محبوب به سبک انیمه
• آثار هنری سفارشی طراحی شده توسط جامعه

پس از نصب، بسته تصویر زمینه اسکریپت‌های مخرب پنهانی را فعال می‌کند که بدون اطلاع کاربر در پس‌زمینه اجرا می‌شوند.

از آنجایی که این محتوا از طریق اکوسیستم رسمی Steam توزیع می‌شود، بسیاری از کاربران آن را ایمن و تأیید شده می‌پندارند، که این امر سوءظن را کاهش داده و نرخ آلودگی را افزایش می‌دهد.

بدافزار واقعاً چه کاری انجام می‌دهد

پس از فعال شدن در سیستم قربانی، تصاویر زمینه مخرب می‌توانند انواع مختلفی از پیلودها را برای سرقت داده‌های حساس مستقر کنند.

تحلیلگران امنیتی تأیید کرده‌اند که این کمپین به خانواده‌های بدافزار معروف سرقت اطلاعات مرتبط است، از جمله:

• Lumma Stealer
• Vidar Stealer

این بدافزارهای سارق اطلاعات قادر به استخراج طیف گسترده‌ای از داده‌های شخصی و مالی هستند.

اهداف شامل کیف پول‌های ارز دیجیتال و اطلاعات ورود به سیستم می‌شوند

بر اساس یافته‌های Kaspersky، بدافزار برای جمع‌آوری اطلاعات بسیار حساس طراحی شده است، از جمله:

• نام کاربری و رمز عبور حساب Steam
• کوکی‌های جلسه ورود فعال
• اطلاعات ورود ذخیره شده در مرورگر
• داده‌های تکمیل خودکار مرورگرهای وب
• اطلاعات کیف پول ارز دیجیتال

هدف قرار دادن کیف پول‌های ارز دیجیتال به ویژه برای کاربران دارایی‌های مجازی نگران‌کننده است، زیرا اطلاعات سرقت شده می‌تواند به طور بالقوه منجر به ضررهای مالی مستقیم شود.

پس از استخراج، داده‌ها به سرورهای تحت کنترل مهاجم منتقل می‌شوند، جایی که می‌توانند برای تسخیر حساب، سرقت هویت یا فروش در بازارهای زیرزمینی مورد استفاده قرار گیرند.

چرا Steam Wallpaper Engine مورد سوءاستفاده قرار می‌گیرد

Wallpaper Engine به دلیل ویژگی‌های شخصی‌سازی و کتابخانه محتوای بزرگ جامعه‌محور در Steam Workshop به طور گسترده مورد استفاده قرار می‌گیرد.

منبع: Wu Blockchain

این محبوبیت محیط ایده‌آلی برای مهاجمان ایجاد می‌کند زیرا:

• کاربران به محتوای Steam Workshop اعتماد دارند
• دانلودها اغلب خودکار هستند یا از نظر ریسک کم اهمیت تلقی می‌شوند
• محتوای بصری (مانند تصاویر زمینه) به ندرت خطرناک تلقی می‌شود
• پایگاه کاربری بزرگ، پتانسیل مواجهه را افزایش می‌دهد

کارشناسان امنیت سایبری خاطرنشان می‌کنند که مهاجمان به طور فزاینده‌ای به سمت سوءاستفاده از پلتفرم‌های معتبر به جای وب‌سایت‌های مشکوک گرایش پیدا می‌کنند، که شناسایی را دشوارتر می‌سازد.

خطرات امنیتی برای کاربران Steam و دارندگان ارز دیجیتال

این کمپین یک نگرانی گسترده‌تر امنیت سایبری را برجسته می‌کند: همگرایی پلتفرم‌های بازی و هدف‌گذاری مالی.

حساب‌های Steam اغلب حاوی دارایی‌های دیجیتال ارزشمندی هستند مانند:

• بازی‌های خریداری شده
• موجودی معاملاتی (در برخی موارد دارای ارزش قابل توجه)
• روش‌های پرداخت ذخیره شده
• حساب‌های ایمیل متصل

در ترکیب با هدف قرار دادن کیف پول‌های ارز دیجیتال، تأثیر بالقوه به طور قابل توجهی شدیدتر می‌شود.

کارشناسان هشدار می‌دهند که اگر مهاجمی به کوکی‌های جلسه یا اطلاعات ورود ذخیره شده کاربر دسترسی پیدا کند، ممکن است از محافظت‌های سنتی ورود به سیستم مانند رمزهای عبور یا حتی برخی روش‌های احراز هویت دو مرحله‌ای عبور کند.

هشدار Kaspersky و جزئیات شناسایی

Kaspersky فعالیت مخرب را علامت‌گذاری کرده و به طور فعال در حال ردیابی انواع این کمپین است.

خانواده‌های بدافزار شناسایی شده، به ویژه Lumma و Vidar، به خاطر موارد زیر شناخته شده‌اند:

• استخراج سریع داده
• قابلیت‌های سرقت ماژولار
• توانایی دور زدن محافظت‌های پایه آنتی‌ویروس
• به‌روزرسانی‌های مکرر برای فرار از شناسایی

محققان امنیتی تأکید می‌کنند که این ابزارها معمولاً به عنوان "بدافزار به عنوان سرویس" فروخته می‌شوند و به مهاجمان کم‌مهارت‌تر امکان می‌دهند کمپین‌های پیچیده را اجرا کنند.

چگونه کاربران می‌توانند از خود محافظت کنند

کارشناسان امنیت سایبری چندین اقدام احتیاطی را برای کاربران Steam و دارندگان ارز دیجیتال توصیه می‌کنند:

• تنها از سازندگان تأیید شده یا مورد اعتماد تصویر زمینه دانلود کنید
• از آیتم‌های تازه آپلود شده در Workshop با سابقه اعتبار پایین اجتناب کنید
• اشتراک‌های نصب شده Steam Workshop را به طور منظم بررسی کنید
• از ابزارهای اختصاصی آنتی‌ویروس و ضد بدافزار استفاده کنید
• در صورت امکان، دارایی‌های ارز دیجیتال را در کیف پول‌های سخت‌افزاری به جای افزونه‌های مرورگر ذخیره کنید
• فعالیت حساب Steam را برای ورودهای غیرعادی رصد کنید

به کاربران همچنین توصیه می‌شود حتی در پلتفرم‌های معتبر نیز احتیاط کنند، زیرا سیستم‌های تأیید می‌توانند توسط مهاجمان مورد سوءاستفاده قرار گرفته یا دور زده شوند.

روند رو به رشد سوءاستفاده از پلتفرم‌های بازی

این حادثه بخشی از یک روند گسترده‌تر است که در آن مجرمان سایبری به طور فزاینده‌ای اکوسیستم‌های بازی را هدف قرار می‌دهند.

در سال‌های اخیر، مهاجمان از موارد زیر استفاده کرده‌اند:

• ماد‌های جعلی برای بازی‌های محبوب
• تقلب‌های مخرب در بازی
• لینک‌های توزیع Discord به خطر افتاده
• آپلودهای Steam Workshop

هدف ثابت است: استفاده از اعتماد کاربران و محیط‌های با تعامل بالا برای انتشار گسترده بدافزار.

تحلیلگران امنیتی هشدار می‌دهند که با ادامه رشد پلتفرم‌های بازی، احتمالاً اهداف اصلی حملات مشابه باقی خواهند ماند.

نتیجه‌گیری

کشف بدافزاری که از طریق Steam Wallpaper Engine از طریق Steam Workshop توزیع می‌شود، یک تهدید فزاینده امنیت سایبری را برجسته می‌کند که در آن اکوسیستم‌های دیجیتال معتبر به سلاح تبدیل می‌شوند.

با توجه به توانایی خانواده‌های بدافزار مانند Lumma و Vidar در سرقت اطلاعات ورود Steam، داده‌های مرورگر و اطلاعات کیف پول ارز دیجیتال، خطرات بسیار فراتر از به خطر افتادن ساده حساب گسترش می‌یابند.

با ادامه تکامل تاکتیک‌های مهاجمان، کارشناسان تأکید می‌کنند که کاربران باید حتی هنگام تعامل با محتوای به ظاهر بی‌خطر مانند تصاویر زمینه نیز احتیاط کنند.

در چشم‌انداز تهدید امروزی، حتی یک پس‌زمینه ساده دسکتاپ می‌تواند دروازه‌ای به سوی سرقت مالی و هویت شود.