بدافزار مخفی در والپیپرهای استیم نشست فعال کاربران را تصاحب می‌‌ کند

گزارش جدید کسپرسکی نشان می‌دهد که مهاجمان با پنهان کردن کدهای مخرب در والپیپرهای متحرک استیم، کنترل حساب‌های کاربری را به‌ دست می‌گیرند.

در ادامه همان حساب‌های سرقت‌شده برای بارگذاری فایل‌های آلوده بیشتر استفاده شده است.

ماکسیم استارودوبوف و دنیس بریلف، پژوهشگران کسپرسکی این گزارش را تهیه و در وب‌سایت Securelist منتشر کرده‌اند. طبق این گزارش، این کمپین بدافزاری از اواخر سال گذشته آغاز شده و عمدتا گیمرهای چینی را هدف قرار داده است. بدافزارهای توزیع‌شده شامل ابزارهای سرقت اطلاعات، ماینرهای رمزارز و حتی باج‌افزار بوده‌اند. کسپرسکی ده‌ها بسته مخرب را شناسایی کرده است که برخی از آنها پیش از حذف، ده‌ها هزار بار دانلود شده بودند.

ابزار مورد سوءاستفاده Wallpaper Engine در پلتفرم استیم است؛ یک برنامه والپیپر زنده با قیمت ۴.۹۹ دلار که در میان عناوین غیر‌بازی استیم جزو پرکاربردترین‌ها محسوب می‌شود و بین ۹۳ هزار تا ۱۱۴ هزار کاربر هم‌زمان دارد و نزدیک به یک میلیون بررسی برای آن ثبت شده است. این اپلیکیشن از چهار نوع والپیپر پشتیبانی می‌کند که یکی از آنها “application wallpaper” نام دارد؛ در واقع یک برنامه اجرایی مستقل ویندوز که به عنوان پس‌زمینه دسکتاپ اجرا می‌شود. همین ویژگی مسیر اجرای کدهای شخص ثالث روی سیستم کاربر را فراهم می‌کند؛ مسیری که مهاجمان دقیقا از آن بهره برده‌اند.

این اولین باری نیست که امنیت و کلاهبرداری در پلتفرم استیم در ماه اخیر خبرساز می‌شود. هر چند که مورد مذکور والپیپرها مرتبط به کلاهبرداری در کارت‌های هدیه فیزیکی استیم بوده و ارتباطی به زیرساخت دیجیتال آن نداشته است. با وجود این، انتشار اخبار و گزارش‌هایی از این دست در مدت زمان کوتاه باعث کاهش اعتماد کاربران این پلتفرم می‌شود.

کسپرسکی دو روش توزیع را برای کدهای مخرب والپیپرهای استیم مشاهده کرده است. در برخی بسته‌ها، فایل‌های مخرب EXE، DLL یا اسکریپت‌ها مستقیما در کنار فایل‌های قانونی والپیپر قرار گرفته بودند. در موارد دیگر، محموله مخرب داخل یک آرشیو رمزدار پنهان شده بود و رمز عبور یا در نام آرشیو درج شده یا در یک فایل پیکربندی JSON ذخیره شده بود تا اسکریپت بتواند به طور خودکار آن را باز کند. اعمال والپیپر باعث اجرای محموله مخرب می‌شد.

در نمونه‌ای که در دسامبر گذشته بررسی شد، پژوهشگران توانستند یک بازی دسکتاپ کاملا کاربردی را اجرا کنند، در حالی که به طور مخفیانه یک در پشتی DarkKomet با نام Synaptics.exe و یک کتابخانه سیستمی دستکاری‌شده به نام AggregatorHost.dll روی سیستم قرار می‌گرفت. این کتابخانه برنامه در حال اجرای استیم را شناسایی می‌کند، به دنبال اطلاعات ورود حساب کاربری می‌گردد، نشست فعال را تصاحب می‌کند و داده‌ها را به یک سرور فرمان و کنترل ارسال می‌کند. کنترل یک نشست فعال به مهاجمان اجازه می‌دهد والپیپرهای مخرب جدیدی را با نام قربانی منتشر کنند؛ به همین دلیل این کمپین حتی پس از حذف فایل‌ها نیز دوباره بازتولید می‌شود.

کسپرسکی اعلام کرده ۸۹ درصد از تلاش‌های دانلود مخرب در چین ثبت شده است. پس از آن روسیه با ۵.۵ درصد قرار دارد و سهم‌های کوچک‌تری نیز در سنگاپور، هنگ‌کنگ، آلمان، ویتنام، هند و کانادا مشاهده شده است. این تمرکز جغرافیایی با پایگاه کاربری Wallpaper Engine که عمدتا در چین قرار دارد، همخوانی دارد. محموله‌های شناسایی‌شده شامل در پشتی DarkKomet، ابزارهای سرقت اطلاعات Lumma و Vidar، لودر RenEngine، ماینرها و باج‌افزار بوده‌اند. به نوشته تامز هاردور، پژوهشگران معتقد هستند این تنوع نشان می‌دهد چندین گروه مستقل از همین روش سوءاستفاده کرده‌اند و یک عامل یا گروه تهدید واحد نبوده‌اند.

این ماجرا ادامه روندی است که طی سال‌های اخیر شاهد نفوذ بدافزارها به کاربران از طریق فروشگاه ولو بوده است. در کریسمس سال ۲۰۲۳ یک ماد آلوده برای بازی Slay the Spire از طریق Workshop توزیع شد. در ژوئیه سال گذشته بازی Chemia در نسخه Early Access با سه نوع بدافزار عرضه شد و در سپتامبر همان سال عنوان BlockBlasters حدود ۱۵۰ هزار دلار از بازیکنان سرقت کرد. همچنین تا ماه مارس، اف‌بی‌آی در حال جست‌وجوی قربانیان بازی‌های آلوده در استیم بود که قدمت آنها به سال ۲۰۲۴ بازمی‌گشت.