Crypto Nightmare trên Steam: Phần mềm độc hại ẩn trong hình nền Anime bị phát hiện

Các nhà nghiên cứu bảo mật cảnh báo: Steam Wallpaper Engine bị chiếm quyền để phát tán phần mềm độc hại đánh cắp Crypto

Các nhà nghiên cứu bảo mật đã phát hiện ra một chiến dịch tội phạm mạng ngày càng gia tăng, nhắm vào người dùng của Steam Wallpaper Engine, một trong những ứng dụng hình nền động phổ biến nhất trên nền tảng Steam.

Theo công ty an ninh mạng Kaspersky, những kẻ tấn công đang lợi dụng hệ thống phân phối Steam Workshop để tải lên và phát tán các hình nền động độc hại được ngụy trang thành nội dung hợp lệ. Các tệp này thường có thiết kế bắt mắt, bao gồm các nhân vật phong cách anime, để thu hút lượt tải xuống và tăng mức độ tương tác.

Một số hình nền bị nhiễm độc được cho là đã tích lũy được hàng nghìn đến hàng chục nghìn lượt cài đặt, cho thấy các nền tảng đáng tin cậy có thể bị khai thác dễ dàng như thế nào để phân phối phần mềm độc hại trên quy mô lớn.

Phần mềm độc hại được phát tán như thế nào

Chuỗi tấn công tương đối đơn giản nhưng cực kỳ hiệu quả.

Tội phạm mạng tải lên các gói hình nền có vẻ vô hại lên Steam Workshop, trình bày chúng dưới dạng:

• Hình nền máy tính động
• Chủ đề nền sống động
• Các gói hình ảnh phong cách anime phổ biến
• Tác phẩm nghệ thuật do cộng đồng thiết kế tùy chỉnh

Sau khi được cài đặt, gói hình nền kích hoạt các tập lệnh độc hại ẩn hoạt động trong nền mà người dùng không hề hay biết.

Vì nội dung được phân phối thông qua hệ sinh thái chính thức của Steam, nhiều người dùng cho rằng nó an toàn và đã được xác minh, từ đó giảm sự nghi ngờ và tăng tỷ lệ lây nhiễm.

Phần mềm độc hại thực sự làm gì

Sau khi được kích hoạt trên hệ thống của nạn nhân, các hình nền độc hại có thể triển khai nhiều loại payload được thiết kế để đánh cắp dữ liệu nhạy cảm.

Các nhà phân tích bảo mật đã xác nhận rằng chiến dịch này có liên quan đến các dòng phần mềm độc hại đánh cắp thông tin nổi tiếng, bao gồm:

• Lumma Stealer
• Vidar Stealer

Các infostealer này có khả năng trích xuất nhiều loại dữ liệu cá nhân và tài chính.

Mục tiêu bao gồm ví Crypto và thông tin đăng nhập

Theo phát hiện của Kaspersky, phần mềm độc hại được thiết kế để thu thập thông tin cực kỳ nhạy cảm, bao gồm:

• Tên người dùng và mật khẩu tài khoản Steam
• Cookie phiên đăng nhập đang hoạt động
• Thông tin đăng nhập trình duyệt đã lưu
• Dữ liệu tự động điền từ trình duyệt web
• Thông tin ví tiền mã hoá

Việc nhắm mục tiêu vào ví Crypto đặc biệt đáng lo ngại đối với người dùng tài sản kỹ thuật số, vì thông tin đăng nhập bị đánh cắp có thể dẫn đến tổn thất tài chính trực tiếp.

Sau khi được trích xuất, dữ liệu được truyền đến các máy chủ do kẻ tấn công kiểm soát, nơi nó có thể được sử dụng để chiếm đoạt tài khoản, đánh cắp danh tính hoặc bán trên các chợ ngầm.

Tại sao Steam Wallpaper Engine bị khai thác

Wallpaper Engine được sử dụng rộng rãi nhờ các tính năng tùy chỉnh và thư viện nội dung do cộng đồng đóng góp lớn trên Steam Workshop.

Nguồn: Wu Blockchain

Sự phổ biến này tạo ra môi trường lý tưởng cho những kẻ tấn công vì:

• Người dùng tin tưởng nội dung Steam Workshop
• Lượt tải xuống thường được thực hiện tự động hoặc được coi là ít rủi ro
• Nội dung hình ảnh (như hình nền) hiếm khi bị coi là nguy hiểm
• Lượng người dùng lớn làm tăng khả năng phơi nhiễm

Các chuyên gia an ninh mạng lưu ý rằng những kẻ tấn công ngày càng chuyển hướng sang khai thác các nền tảng đáng tin cậy thay vì các trang web đáng ngờ, khiến việc phát hiện trở nên khó khăn hơn.

Rủi ro bảo mật cho người dùng Steam và người nắm giữ Crypto

Chiến dịch này làm nổi bật một mối lo ngại an ninh mạng rộng hơn: sự hội tụ giữa các nền tảng game và mục tiêu tài chính.

Tài khoản Steam thường chứa các tài sản kỹ thuật số có giá trị như:

• Game đã mua
• Kho giao dịch (trong một số trường hợp có giá trị đáng kể)
• Phương thức thanh toán đã lưu
• Tài khoản Email được liên kết

Khi kết hợp với việc nhắm mục tiêu vào ví Crypto, tác động tiềm tàng trở nên nghiêm trọng hơn đáng kể.

Các chuyên gia cảnh báo rằng khi kẻ tấn công có được quyền truy cập vào cookie phiên hoặc thông tin đăng nhập đã lưu của người dùng, chúng có thể vượt qua các biện pháp bảo vệ đăng nhập truyền thống như mật khẩu hoặc thậm chí một số phương thức xác thực 2FA.

Cảnh báo và chi tiết phát hiện của Kaspersky

Kaspersky đã gắn cờ hoạt động độc hại này và đang tích cực theo dõi các biến thể của chiến dịch.

Các dòng phần mềm độc hại được phát hiện, đặc biệt là Lumma và Vidar, được biết đến với:

• Khả năng đánh cắp dữ liệu nhanh
• Khả năng đánh cắp theo mô-đun
• Khả năng vượt qua các biện pháp bảo vệ antivirus cơ bản
• Cập nhật thường xuyên để tránh bị phát hiện

Các nhà nghiên cứu bảo mật nhấn mạnh rằng các công cụ này thường được bán dưới dạng "malware-as-a-service," cho phép những kẻ tấn công kém kỹ năng hơn triển khai các chiến dịch tinh vi.

Người dùng có thể tự bảo vệ mình như thế nào

Các chuyên gia an ninh mạng khuyến nghị một số biện pháp phòng ngừa cho người dùng Steam và người nắm giữ Crypto:

• Chỉ tải xuống hình nền từ các nhà sáng tạo đã được xác minh hoặc đáng tin cậy
• Tránh các mục Workshop mới tải lên với lịch sử uy tín thấp
• Thường xuyên xem xét các đăng ký Steam Workshop đã cài đặt
• Sử dụng các công cụ antivirus và chống phần mềm độc hại chuyên dụng
• Lưu trữ tài sản Crypto trong ví phần cứng thay vì tiện ích mở rộng trình duyệt khi có thể
• Theo dõi hoạt động tài khoản Steam để phát hiện các lần đăng nhập bất thường

Người dùng cũng được khuyến cáo phải thận trọng ngay cả trong các nền tảng đáng tin cậy, vì các hệ thống xác minh có thể bị kẻ tấn công khai thác hoặc vượt qua.

Xu hướng khai thác nền tảng game ngày càng tăng

Sự cố này là một phần của xu hướng rộng hơn trong đó tội phạm mạng ngày càng nhắm mục tiêu vào các hệ sinh thái game.

Trong những năm gần đây, những kẻ tấn công đã sử dụng:

• Mod giả cho các game phổ biến
• Phần mềm gian lận game độc hại
• Liên kết phân phối Discord bị xâm phạm
• Các tệp tải lên Steam Workshop

Mục tiêu luôn nhất quán: tận dụng sự tin tưởng của người dùng và môi trường có mức độ tương tác cao để phát tán phần mềm độc hại trên quy mô lớn.

Các nhà phân tích bảo mật cảnh báo rằng khi các nền tảng game tiếp tục phát triển, chúng có thể sẽ vẫn là mục tiêu hàng đầu cho các cuộc tấn công tương tự.

Kết luận

Việc phát hiện phần mềm độc hại được phân phối thông qua Steam Wallpaper Engine qua Steam Workshop làm nổi bật một mối đe dọa an ninh mạng ngày càng tăng, nơi các hệ sinh thái kỹ thuật số đáng tin cậy đang bị vũ khí hóa.

Với các dòng phần mềm độc hại như Lumma và Vidar có khả năng đánh cắp thông tin đăng nhập Steam, dữ liệu trình duyệt và thông tin ví tiền mã hoá, rủi ro kéo dài vượt xa sự xâm phạm tài khoản đơn giản.

Khi những kẻ tấn công tiếp tục phát triển chiến thuật của mình, các chuyên gia nhấn mạnh rằng người dùng phải luôn thận trọng ngay cả khi tương tác với nội dung có vẻ vô hại như hình nền.

Trong bối cảnh mối đe dọa ngày nay, ngay cả một hình nền máy tính đơn giản cũng có thể trở thành cửa ngõ dẫn đến mất mát tài chính và đánh cắp danh tính.