Steam游戏《BlockBlasters》感染事件:恶意补丁植入窃密木马技术分析

本文详细分析了2025年8月30日发布的Steam游戏《BlockBlasters》恶意补丁事件。该补丁通过三层攻击链(批处理文件、VBS加载器、StealC窃密木马)窃取用户加密货币钱包数据、浏览器信息和系统凭证,涉及反检测技术、C2通信机制和防御规避手法。

BlockBlasters:感染Steam游戏通过伪装补丁下载加密货币窃取木马

阅读时间:5分钟(1296词)

一款名为《BlockBlasters》的2D平台游戏在8月30日发布补丁后开始出现恶意活动迹象。当用户运行游戏时,多种信息从运行游戏的PC中被窃取——包括加密货币钱包数据。数百名用户可能受到影响。

技术分析

作者:Arvin Lauren Tan。《BlockBlasters》是由Genesis Interactive开发的2D平台/射击游戏。该游戏于2025年7月31日发布,获得了数百条好评。但在2025年8月30日,这款发布仅一个月的游戏发布了一个补丁(版本19799326),其中包含表现多种恶意行为的文件,这些文件已被G DATA MXDR标记。

攻击链分析

阶段1:特洛伊窃密木马批处理文件

批处理文件(game2.bat [1])表现出异常活动,显示了在合法游戏过程中不常见但在恶意软件感染中频繁观察到的功能。

game2.bat关键功能(按执行顺序):

  • 通过IP查询网站收集用户IP和位置信息
  • 检测已安装的杀毒软件产品
  • 收集用户登录信息(SteamID、账户名、个人名称、记住密码)
  • 将收集的数据上传到C2服务器(hxxp://203[.]188[.]171[.]156:30815/upload)
  • 执行VBS启动脚本(launch1.vbs [2]和test.vbs [3])

批处理脚本随后解压并执行补丁中的其他文件,这些文件存放在密码保护的压缩包中(密码为"121")。压缩包设置密码是为了在下载期间防止载荷被检测。

阶段2:VBS加载器

两个VBS脚本包含相同的批处理文件执行例程,通过cmd.exe启动批处理文件并隐藏控制台:

  • Launch1.vbs [2] – 执行"1.bat" [4]
  • Test.vbs [3] – 执行"test.bat" [5]

test.bat收集浏览器扩展和用户系统中安装的加密货币钱包信息,并将信息发送到C2服务器。

阶段3:执行主载荷

“1.bat"脚本将可执行文件的目标文件夹添加到Microsoft Defender防病毒排除列表,然后解压密码保护的压缩包并执行其中的内容。随后运行游戏可执行文件以掩盖其恶意行为。

StealC载荷

攻击执行两个载荷:Client-built2.exe [6](后门)和Block1.exe [7](窃密木马)。

技术细节

  • Client-built2.exe:Python编译安装程序,通过RemoteControlClient类连接C2通道
  • Block1.exe:Win64 C++编译可执行文件,使用StealC标准加密,针对Chrome、Brave、Edge浏览器窃取信息
  • StealC恶意软件使用已弃用的RC4加密隐藏API和关键字符串,连接独立C2通道(hxxp://45[.]83[.]28[.]99)

遥测数据

根据SteamDB和Gamalytic数据,补丁部署后游戏下载量超过100次,实时玩家数1-4人。

事件响应

游戏已被SteamDB标记为"可疑”,并在本文发布前从Steam下架。值得注意的是,有直播记录显示一名用户在癌症治疗筹款直播中系统被感染。

入侵指标(IOC)

[1] Game2.bat - aa1a1328e0d0042d071bca13ff9a13116d8f3cf77e6e9769293e2b144c9b73b3
[2] Launch1.vbs - c3404f768f436924e954e48d35c27a9d44c02b7a346096929a1b26a1693b20b3
[3] Test.vbs - b2f84d595e8abf3b7aa744c737cacc2cc34c9afd6e7167e55369161bc5372a9b
[4] 1.bat - e4cae16e643a03eec4e68f7d727224e0bbf5415ebb0a831eb72cb7ff31027605
[5] Test.bat - 3766a8654d3954c8c91e658fa8f8ddcd6844a13956318242a31f52e205d467d0
[6] Client-built2.exe - 17c3d4c216b2cde74b143bfc2f0c73279f2a007f627e3a764036baf272b4971a
[7] Block1.exe - 59f80ca5386ed29eda3efb01a92fa31fb7b73168e84456ac06f88fdb4cd82e9e

参考资料

[A] PCMag:“你是否下载了这款Steam游戏?抱歉,它是Windows恶意软件”
[B] Bleeping Computer:“黑客将信息窃取恶意软件潜入Steam抢先体验游戏”
[C] SteamDB上BlockBlasters的记录
[D] Gamalytic关于BlockBlasters的统计数据

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次