BlockBlasters Steam 游戏将恶意软件伪装成补丁下载到电脑

混淆既是艺术

流行的 2D 平台游戏 BlockBlasters 的一个看似无害的补丁更新已经演变成一场复杂的恶意软件活动，导致数百名 Steam 用户面临数据盗窃和系统入侵的风险。

该恶意补丁于 2025 年 8 月 30 日部署，表明威胁行为者如何越来越多地利用游戏生态系统来传播窃取信息的恶意软件，而用户却对正在进行的攻击毫不知情。

BlockBlasters 由 Genesis Interactive 开发，最初于 2025 年 7 月 31 日发布，在成为 Steam 游戏感染日益严重的趋势中的最新受害者之前，曾获得游戏社区的积极评价。

恶意 Build 19799326 补丁包含多个表现出危险行为的文件，将看似常规的游戏更新转变为多阶段攻击，能够窃取敏感用户数据，包括加密货币钱包信息、浏览器凭据和 Steam 登录详细信息。

G Data 分析师在其 MXDR 平台标记了游戏补丁文件中的可疑活动后，发现了恶意软件活动。

安全研究人员发现，威胁行为者成功绕过了 Steam 的初始安全检查，从而允许部署恶意更新，这可能会影响数百名在其系统上安装了该游戏的玩家。

此次事件延续了 Steam 游戏遭受类似攻击的令人担忧的模式，包括著名的 PirateFi 和 Chemia 案例，凸显了该平台持续面临此类复杂渗透攻击的脆弱性。

此次攻击代表着以游戏为重点的恶意软件活动的显著升级，因为威胁行为者继续改进通过合法软件分发渠道分发恶意负载的技术。

该事件因其多阶段感染过程和针对的敏感数据范围而尤为引人注目，这使其成为一次全面的信息盗窃行动，而不是简单的恶意软件安装。

技术感染机制和有效载荷传递

BlockBlasters恶意软件通过复杂的三阶段感染机制运行，首先执行一个名为 的看似无害的批处理文件game2.bat。

该初始有效载荷执行多项侦察功能，包括通过查询“ipinfo[.]io”和“ip[.]me”等合法服务收集 IP 和位置信息，同时检测已安装的防病毒产品以评估目标环境的安全态势。

该批处理文件的主要功能是收集 Steam 登录凭据，包括 SteamID、AccountName、PersonaName 和 RememberPassword 数据，然后将其上传到位于的命令和控制服务器hxxp://203[.]188[.]171[.]156:30815/upload。

该恶意软件使用密码“121”保护的 ZIP 档案在下载过程中隐藏其有效负载，从而有效逃避初始检测机制

环境评估成功后，恶意软件会部署 VBS 加载器脚本（launch1.vbs和test.vbs），执行额外的批处理文件，同时通过隐藏的控制台执行保持隐蔽。

该test.bat组件专门针对浏览器扩展和加密货币钱包数据，表明该活动专注于高价值金融信息。

最后阶段涉及部署两个主要有效载荷：Client-built2.exe，一个与 C2 基础设施建立持久通信的 Python 编译后门，以及Block1.exe，其中包含 StealC 信息窃取程序。

该恶意软件策略性地使用路径将其执行目录添加到 Microsoft Defender 的排除列表中Drive:\SteamLibrary\steamapps\common\BlockBlasters\Engine\Binaries\ThirdParty\Ogg\cwe\，确保继续运行而不会触发安全警报。

StealC 组件针对多种浏览器，包括 Google Chrome、Brave 浏览器和 Microsoft Edge，访问它们各自的本地状态文件以提取存储的凭据和敏感信息。

该恶意软件使用已弃用的 RC4 加密来混淆其 API 调用和密钥字符串，连接到辅助 C2 服务器进行hxxp://45[.]83[.]28[.]99数据泄露操作，展示了该活动维护操作安全的分布式基础设施方法。