News (CN)

联邦调查追踪 Steam 平台上七款受感染游戏的加密货币盗窃行为

作者 Maria • 2026年3月14日 • 1 min de leitura

WhatsApp Twitter Facebook 在Google上关注 E-mail

照片: Steam - viewimage/ Shutterstock.com

联邦调查局西雅图分部已开始正式行动，以查明并破坏利用世界上最大的数字游戏商店分发恶意软件的网络犯罪网络。该行动针对的是 2024 年 5 月至 2026 年 1 月期间记录的特定非法活动窗口，在此期间，数百万用户可能接触到旨在提取敏感财务信息的隐藏代码。当局确认，攻击者的主要目标是直接保存在受害者浏览器中的加密货币钱包和银行凭证。

数字威胁隐藏在看似无害的娱乐产品中。消费者下载这些文件时不会怀疑后台进程正在扫描他们的机器以获取有价值的数据。

该联邦机构目前正在呼吁公众提供技术援助。官方门户上建立了专门的渠道，收集安装受感染软件的用户的声明和系统日志。

已识别的标题和威胁的范围

当局发布的官方文件列出了七种作为数字感染载体的游戏。该目录包括 BlockBlasters、Chemia、Lampy、Lunara、Dashverse/DashFPS、PirateFi 和 Tokenova 等名称。

这些应用程序能够绕过数字分发服务的初始安全过滤器。通过提供免费访问或极低的进入成本，这些恶意程序的开发人员能够快速建立庞大的安装基础。

一旦在主机上执行，恶意软件就会启动与犯罪分子控制的外部服务器的静默通信协议。此连接允许无缝传输个人文件和登录令牌，而不会触发标准操作系统警报。

调查人员强调，损害不仅仅是直接的经济损失。提取浏览 cookie 和保存的密码会给受影响的个人带来永久性的漏洞，需要对其数字身份和访问方法进行彻底检查。

PirateFi 应用程序的先例

调查时间表突出显示了 2025 年 2 月发生的一起涉及 PirateFi 软件的严重事件。全球发布后不久，独立安全研究人员检测到源自游戏可执行文件的异常网络行为。随后的分析显示，该应用程序的核心架构深处嵌入了复杂的数据盗窃机制，这促使商店管理员立即干预以删除该产品。

平台运营商的反应异常严厉，反映出安全漏洞的极端性质。除了简单地从目录中删除该产品之外，该公司还发布了一项公共指令，建议所有与该文件交互的用户完全格式化其存储驱动器。这种严厉的措施被认为是必要的，因为特定的恶意软件菌株具有持久性功能，这意味着它可以在标准卸载程序和基本防病毒扫描中幸存下来。

金融提取机制

攻击的架构展示了去中心化金融方面的高水平专业知识。恶意代码被编程为专门扫描与流行的加密货币钱包扩展和独立客户端软件相关的目录。

找到这些数字保管库后，程序尝试提取本地存储的私钥或恢复短语。有了这些信息，攻击者就可以远程授权将所有可用资金转移到使用传统方法无法追踪的区块链地址。

传统银行机构也成为会话代币盗窃的目标。通过克隆用户的浏览器指纹，犯罪分子能够绕过金融平台实施的某些行为安全检查，无需输入原始密码即可访问账户。

消费者保护协议

网络安全专家建议采用多层方法来减轻与从数字店面下载可执行文件相关的风险。主要建议包括对所有敏感帐户严格实施双因素身份验证，使用硬件密钥或专用身份验证器应用程序，而不是容易被拦截的基于短信的验证。此外，建议用户划分其数字活动，在单独的设备或安全虚拟机上维护金融交易，与游戏和一般网页浏览的环境完全隔离。采用加密密码管理器对于防止凭据在纯文本文件或浏览器自动完成中暴露也至关重要。

在当前情况下，使用高级端点保护软件也被认为是强制性的。现代安全套件采用启发式分析来实时检测可疑软件行为，阻止未经授权的尝试访问受保护的系统目录或将加密数据传输到未知的 IP 地址。

适度的企业责任

恶意软件渗透到严格监管的数字市场中，引发了有关自动代码审查系统有效性的基本问题。行业分析师指出，每日提交的大量数据使得平台持有者无法在逻辑上手动检查每一行代码。

因此，公司越来越依赖人工智能模型在发布之前标记潜在威胁。然而，随着防御算法的发展，网络犯罪分子正在同时开发新的混淆技术来隐藏其有效负载，直到软件安全地安装在最终用户的计算机上。

与联邦当局的合作

正在进行的联邦行动的成功在很大程度上取决于受害者提供的遥测数据的数量和质量。当局建立的报告门户旨在汇总妥协的技术指标，例如恶意软件与之通信的特定 IP 地址以及未经授权交易的确切时间戳。这种集体情报对于绘制犯罪集团的基础设施至关重要，并且可以识别托管被盗数据的物理服务器以及策划金融提取网络的个人。损害报告的透明度有助于为法医专家建立清晰的攻击模式。