最新发现，Steam 商店中一款名为 PirateFi 的免费游戏一直在向用户传播 Vidar 信息窃取恶意软件。

在 2 月 6 日至 2 月 12 日期间，这款游戏在 Steam 目录中出现了近一周的时间，并被多达 1500 名用户下载。分发服务正在向可能受到影响的用户发送通知，建议他们重新安装 Windows。

Steam 上的恶意软件

上周，Seaworth Interactive 在 Steam 上发布了《PirateFi》，并获得了积极评价。它被描述为一款以低多边形世界为背景的生存游戏，涉及基地建设、武器制作和食物收集。

PirateFi 的 Steam 页面

本周，Steam 发现这款游戏含有恶意软件，但并未指明具体类型。通知中写道："这款游戏开发者的 Steam 账户上传了包含可疑恶意软件的构建。"

用户在 Steam 上玩 PirateFi（3476470）时，这些构建是活跃的，所以这些恶意文件很可能在用户的计算机上启动。Steam 建议用户使用最新的防病毒软件运行完整的系统扫描，检查他们不认识的新安装的软件，并考虑操作系统格式。

Steam 对受影响用户的通知

受影响的用户还在游戏的 Steam 社区页面上发布了安全提醒，通知其他人不要启动该游戏，因为他们的杀毒软件将其识别为恶意软件。

SECUINFRA Falcon Team 的 Marius Genheimer 获得了通过 PirateFi 传播的恶意软件样本，并将其识别为 Vidar 伪造软件的一个版本。

SECUINFRA 建议："如果你是下载这个"游戏"的玩家之一：考虑保存在浏览器、电子邮件客户端、加密货币钱包等中的凭据、会话 cookie 和秘密被泄露。"建议用户更改所有可能受影响帐户的密码，并在可能的情况下激活多因素身份验证保护。

基于动态分析和 YARA 签名匹配，该恶意软件被识别为 Vidar，隐藏在一个名为 Pirate.exe 的文件中，作为有效载荷（Howard.exe），与 InnoSetup 安装程序打包在一起。

攻击者多次修改游戏文件，使用各种混淆技术，并更改命令和控制服务器以获取凭据。研究人员认为，PirateFi 名称中提到的 web3/ b 区块链 / 加密货币是有意为之，目的是吸引特定的玩家群体。

Steam 并没有公布有多少用户受到了 PirateFi 恶意软件的影响，但游戏页面上的统计数据显示，可能有多达 1500 人受到了影响。

恶意软件渗透 Steam 商店并不常见，但也不是没有先例。在 2023 年 2 月，Steam 用户受到了恶意 Dota 2 游戏模式的攻击，该模式利用 Chrome n-day 漏洞在玩家的计算机上执行远程代码执行。

2023 年 12 月，当时很受欢迎的独立策略游戏《Slay the Spire》的一个 mod 被黑客入侵，黑客将" Epsilon "信息传输器注入其中。

目前 Steam 已经引入了其他措施，如开启短信验证等，以保护玩家免受未经授权的恶意更新，但 PirateFi 的案例表明，目前这些措施还远远不够。