近日，熱門策略游戲《Slay the Spire》的擴展版本《Downfall》被黑客入侵。他們利用 Steam 更新系統向玩家推送了 Epsilon 信息竊取惡意軟件。

開發者 Michael Mayhem 表示：被入侵的軟件包是原游戲的預包裝獨立修改版，并非通過 Steam Workshop 安裝的修改版。

最開始是其中一臺設備被惡意軟件非法入侵，當時正在運行的安全軟件沒能阻止它甚至都沒有做出標記。但這并不是一個盜取密碼的惡意軟件，因為 2FA 并沒有觸發或阻止它，而且被入侵的賬戶都在不同的電子郵件地址下（這些地址本身都沒有被盜）。

此外，攻擊者還入侵了《Downfall》開發者之一的 Steam 和 Discord 賬戶，從而控制了該 MOD 的 Steam 賬戶。Michael Mayhem稱此次事件更像是一種令牌劫持，黑客們專門劫持 Steam 并利用它上傳，但目前這還只是猜測。

Mayhem 在周三（12月27日）發表的一份聲明中告知用戶稱：此次安全漏洞允許惡意上傳替換已打包的《Downfall》游戲。如果您確實在 12月25日的18:30-19:30時間段內曾打開了《Downfall》，并且該游戲向您彈出了 Unity 庫安裝程序，那么您的設備可能會出現安全風險。

該惡意軟件會從設備中的網絡瀏覽器（谷歌 Chrome、Yandex、Microsoft Edge、Mozilla Firefox、Brave、Vivaldi）以及 Steam 和 Discord 消息中收集 cookies 和保存的密碼和信用卡信息。

同時，它還會查找文件名中包含 "密碼 "的文件，并查找其他憑證，包括本地 Windows 登錄和 Telegram等賬戶信息。

Epsilon惡意軟件收集憑證(Any.run)

Mayhem 建議Downfall用戶立即更改所有重要密碼，尤其是未受2FA（雙因素驗證）保護的賬戶密碼。

有用戶報告稱：該惡意軟件會將自己作為 Windows 啟動管理器應用程序安裝在 AppData 文件夾中，或作為 UnityLibManager 安裝在 /AppData/Roaming 文件夾中。

Epsilon Stealer 是一種通過 Telegram 和 Discord 向其他威脅行為者出售的信息竊取惡意軟件。它通常用于以 Discord 上的游戲玩家為目標，以測試新游戲漏洞為幌子，誘騙他們安裝惡意軟件以換取報酬。

在安裝游戲后，惡意軟件還會在后臺運行，竊取用戶的密碼、信用卡信息和身份驗證 cookie。竊取的信息要么被威脅者用來入侵更多賬戶，要么在暗網市場上出售。

根據 VirusTotal 數據，這次攻擊背后的威脅行為者的目標不只是Steam還可能瞄準了其他游戲和游戲開發商。

包含相同信息竊取惡意軟件的其他文件（VirusTotal）

Steam加強安全

自 8 月底開始，越來越多被入侵的 Steamworks 賬戶被用來上傳惡意游戲版本，使玩家感染惡意軟件，因此今年 10 月，Valve 宣布現在要求游戲開發商在 Steam 默認發布分支上推送更新時進行基于短信的安全檢查。

作為安全更新的一部分，任何在已發布應用程序的默認/公共分支上設置構建的 Steamworks 帳戶都需要有一個與其帳戶相關聯的電話號碼，這樣 Steam 才能在繼續之前給你發短信確認代碼，任何需要添加新用戶的 Steamworks 帳戶都需如此。這一項規定已經于今年10月24日起正式生效。