我们在2023和2024年到底经历了多少次游戏内投毒事件

dg1vg4

原文地址：https://mp.weixin.qq.com/s/I9HnHUdCg7hfFF4bkVMYJA

【阅读前提示：本文阅读难度为Ⅱ级，了解计算机相关知识即可流畅阅读本文】

写在前面

我在2023年4月10日发布了第一期Weekly Spotlight，紧接着在第二期，就碰上了Wallpaper Engine壁纸投毒事件

一转眼都到2024年底了，我挺好奇咱们这两年到底经历了多少次类似的事件，索性在这篇文章里做个整理

《Wallpaper Engine》壁纸投毒事件

Weekly Spotlight - 第二期 - 2023.04.17首次提到

史称赛博梅毒，因为包含病毒的都是Wallpaper Engine上的一些小黄油（实际已经不是壁纸了，是分类里的应用程序）

攻击者的目的：盗取Steam账号。部分被投毒的应用程序还额外携带了远控木马，不仅想要你的Steam账号，还想要你电脑的控制权

一回忆起这个事，我就想起了那段疯狂做溯源和提取检测特征的时光，看到后台的拦截记录就感觉一切都是值得的

这件事情的影响大到我身边的朋友都有受影响的，而且当时B站有相当多类似的介绍视频。虽然视频里的描述多半都不太准确（比如很少有视频提到投递远控木马这事），但提供的规避方案都很统一：谨慎订阅类型为应用程序的壁纸

《MineCraft》模组整合包投毒事件

Weekly Spotlight - 第十期 - 2023.06.12首次提到

仅过去两个月，MineCraft也遭殃了，两个知名的MineCraft的模组分享站点（Curseforge和Bukkit.org）内多个知名的整合包内被植入病毒，而且实际上相关的带毒模组早在2023年4月就已出现

攻击者的目的：不止是盗取Steam账号，实际上投递的病毒的性质是信息窃取木马（虽然相关的恶意程序我在添加检测特征时给的分类是后门），窃取电脑上的浏览器等软件保存的账号密码信息，并且会监视剪贴板替换可能的加密货币钱包地址

有些安全厂商虽然响应的挺快，但挖的不够深，一些关联的恶意样本至今都未能检出

《超级马里奥兄弟3》游戏安装包被黑客重打包并植入病毒

Weekly Spotlight - 第十三期 - 2023.07.03首次提到

之前提及此事时没补链接，在这里补一个：https://www.kaspersky.com/blog/mario-forever-malware-too/48547/

攻击者的目的：不仅想盗账号密码，还想在你电脑上挖矿

蠕虫病毒借助《使命召唤：现代战争2》游戏内漏洞进行传播

Weekly Spotlight - 第十七期 - 2023.07.31首次提到

之前提及此事时没补链接，在这里补一个：https://x.com/vxunderground/status/1684668732868644864

这游戏代码属实是有点老了，2009年的东西了。随后动视暴雪在服务端对病毒利用的漏洞进行了修复

《裸足少女》新作补丁被感染型病毒感染

Weekly Spotlight - 第二十二期 - 2023.09.04首次提到

这个纯粹是补丁制作者疏忽了，打好补丁的主程序被Wapomi感染型病毒感染。只不过很多玩GalGame的玩家都习惯将安全软件关闭或者直接添加白名单，这事情受影响的玩家还不少

虽然感染型病毒这东西大部分时候都没有我们用户实际能感知到的危害，但仍有部分感染型病毒比较特别，除了感染其他文件还具备一些特殊能力

这次的Wapomi（它还有几个别称：Mikcer、Gunitor、Jadtre）就是个例子，它的部分变种会加载内核驱动甚至感染MBR，意味着重装系统都无法清除。我在我大脑的知识库里检索了下，好像就只有这一个感染型病毒会这么干

《杀戮尖塔》知名Mod“崩坠”被植入病毒

Weekly Spotlight - 第三十九期 - 2024.01.01首次提到

Mod作者的账号被盗了，攻击者借此向其制作的Mod里植入病毒并上传至Steam。唯一值得庆幸的应该是这次事件只影响独立客户端版本

病毒代码混淆的不成样子，而且使用Electron打包，很多安全软件无法进行解包扫描

攻击者的目的：窃取账号密码，只不过不止包含游戏

部分被国人“破解”的《MineCraft》客户端被发现夹带私货

Weekly Spotlight - 第四十四期 - 2024.02.05首次提到

MineCraft只有网易的版本才是免费的，国际版官网上的是需要付费购买的，网上也有各种各样的破解版客户端以及配套的启动器

攻击者的目的：窃取Discord登陆凭据

《MineCraft》模组“Windowed Borderless”被发现包含病毒

Weekly Spotlight - 第五十八期 - 2024.05.13首次提到

该模组初次提交时的版本并未包含恶意代码，恶意代码是在随后的更新中被加入的。像极了咱们国内一些流氓软件，初始版本人畜无害，后续更新光速加入流氓模块干坏事

攻击者的目的：窃取Discord登陆凭据

《城市：天际线II》模组“Traffic”遭到投毒

Weekly Spotlight - 第八十三期 - 2024.11.04首次提到

经本人调查发现，不只是这一款游戏的模组被投毒了，还有其他游戏也受到了影响，比如GTA系列，也出现了一些被恶意重打包的游戏模组

攻击者的目的：窃取加密货币钱包相关的数据

后记

有些人可能会说：“我就一臭打游戏的，这病毒和我有啥关系，感染了都无所谓，游戏账号不要就不要了”

但你需要知道以下几点：

• 有些病毒可不止盗你的游戏账号，还会窃取你电脑上保存的其他账号密码，你在浏览器里点的每一个自动保存的账号密码都会送给病毒作者
• 现在很多病毒喜欢挖矿，这会导致你的电脑变卡，你也不想玩FPS游戏的时候突然掉帧吧
• 病毒作者会利用盗来的Steam账号向你账号上的好友发送钓鱼链接，继续将影响范围扩大
• 银狐木马现已开始针对游戏玩家，这东西可就不是冲着你的游戏账号去的，而是冲着你的钱去的。就算在你的电脑上捞不到东西，它也可以控制你电脑上的微信向其他人继续传播病毒，比如利用你的账号在你的家庭群里发一个病毒，然后诱导其他人打开，最终目的当然是把银行账户上的钱洗劫一空。前段时间我们瑞星还接到过来自公安的协查请求，就是一个银行账户内的钱被洗劫一空的例子