最新發現，Steam商店中一款名為PirateFi的免費游戲一直在向用戶傳播Vidar信息竊取惡意軟件。

在2月6日至2月12日期間，這款游戲在Steam目錄中出現了近一周的時間，并被多達1500名用戶下載。分發服務正在向可能受到影響的用戶發送通知，建議他們重新安裝Windows。

Steam上的惡意軟件

上周，Seaworth Interactive在Steam上發布了《PirateFi》，并獲得了積極評價。它被描述為一款以低多邊形世界為背景的生存游戲，涉及基地建設、武器制作和食物收集。

PirateFi的Steam頁面

本周，Steam發現這款游戲含有惡意軟件，但并未指明具體類型。通知中寫道：“這款游戲開發者的Steam賬戶上傳了包含可疑惡意軟件的構建。”

用戶在Steam上玩PirateFi（3476470）時，這些構建是活躍的，所以這些惡意文件很可能在用戶的計算機上啟動。Steam建議用戶使用最新的防病毒軟件運行完整的系統掃描，檢查他們不認識的新安裝的軟件，并考慮操作系統格式。

Steam對受影響用戶的通知

受影響的用戶還在游戲的Steam社區頁面上發布了安全提醒，通知其他人不要啟動該游戲，因為他們的殺毒軟件將其識別為惡意軟件。

SECUINFRA Falcon Team的Marius Genheimer獲得了通過PirateFi傳播的惡意軟件樣本，并將其識別為Vidar偽造軟件的一個版本。

SECUINFRA建議：“如果你是下載這個“游戲”的玩家之一，考慮保存在瀏覽器、電子郵件客戶端、加密貨幣錢包等中的憑據、會話cookie和秘密被泄露。”建議用戶更改所有可能受影響帳戶的密碼，并在可能的情況下激活多因素身份驗證保護。

基于動態分析和YARA簽名匹配，該惡意軟件被識別為Vidar，隱藏在一個名為Pirate.exe的文件中，作為有效載荷（Howard.exe），與InnoSetup安裝程序打包在一起。

攻擊者多次修改游戲文件，使用各種混淆技術，并更改命令和控制服務器以獲取憑據。研究人員認為，PirateFi名稱中提到的web3/ b區塊鏈/加密貨幣是有意為之，目的是吸引特定的玩家群體。

Steam并沒有公布有多少用戶受到了PirateFi惡意軟件的影響，但游戲頁面上的統計數據顯示，可能有多達1500人受到了影響。

惡意軟件滲透Steam商店并不常見，但也不是沒有先例。在2023年2月，Steam用戶受到了惡意Dota 2游戲模式的攻擊，該模式利用Chrome n-day漏洞在玩家的計算機上執行遠程代碼執行。

2023年12月，當時很受歡迎的獨立策略游戲《Slay the Spire》的一個mod被黑客入侵，黑客將“Epsilon”信息傳輸器注入其中。

目前Steam已經引入了其他措施，如開啟短信驗證等，以保護玩家免受未經授權的惡意更新，但PirateFi的案例表明，目前這些措施還遠遠不夠。

參考及來源：https://www.bleepingcomputer.com/news/security/piratefi-game-on-steam-caught-installing-password-stealing-malware/