最近，Turfur安全论坛收到了大量的用户反馈，大量携带Steam帐户盗窃病毒的“ Butters”出现在著名软件《壁纸引擎（Wallpaper Engine）》的创意研讨会上。一旦这些“黄油”被订阅或使用，他们所携带的恶意代码将悄悄地在后台运行，窃取用户的Steam帐户信息，这将导致用户的帐户被盗，并且要转移虚拟资产。建议用户在使用《壁纸引擎》时保持警惕，并且永远不要下载未知来源的创意研讨会作品。目前，草皮安全产品可以拦截和检测上述病毒。建议用户及时更新病毒数据库，以提高防御能力。

检查杀人图片

特洛伊木马

一、Steam盗号黑产

作为世界知名的游戏平台，Steam吸引了许多玩家的注意力，其功能丰富的功能，例如受欢迎的游戏，创意研讨会和社区交流。但是，随着Steam的影响力的扩大，用于用户帐户的黑色产业链已经逐渐成形。从依靠特洛伊木马计划窃取帐户的早期，到形成了“一站式”工业链的完整，复杂，专业的攻击以及货币化，什么样的“爪”越来越长？请遵循我们的文字并找出答案。

蒸汽“拾取器” ——SSFN文件窃取

早期的蒸汽帐户盗窃主要依赖“数字计算机”（特洛伊木马程序）。在Steam平台的早期阶段，使用两因素身份验证（2FA）进行帐户安全验证，其系统主要依赖于本地存储的SSFN文件进行验证。因此，一旦攻击者窃取了SSFN文件，他就可以绕过Steam的邮箱验证机制。

“彩票采摘设备”攻击过程

蒸汽“固定机”

SSFN文件

SSFN登录

迭代升级Steam的“反击” ——复杂攻击系统

为了应对日益严重的帐户盗窃计划，Steam平台正在促进令牌验证（两因素身份验证），同时也不断增强安全验证机制。但是，随着平台验证机制的升级，帐户盗窃技术也在不断迭代。

“上传器”是攻击者使用的当前程序：它使用的技术已演变为完整的凭证伪造系统。在早期，“上传者”使用SSFN授权绕过蒸汽平台的验证机制；现在，其操作方法已升级为使用EYA键来构建config.vdf和loginuser.vdf文件以绕过Steam令牌验证，并可以通过在注册表中修改自动登录用户名来登录Steam帐户。因此，“上传者”可以成功登录蒸汽帐户，而无需帐户密码和蒸汽令牌，甚至可以直接在Steam市场上买卖商品。

EYA登录

VDF数据

成功登录

蒸汽黑色产业连锁

通过非法手段获得并通过非正式渠道进行交易的蒸汽帐户通常称为蒸汽黑数。相关的黑色产业链不断发展，并且已经形成了完整的攻击和货币化系统，严重威胁了Steam用户的虚拟资产安全性。

获取黑色数字的主要方式

1。通过Internet Cafe终端窃取信息

无磁盘主磁盘注入：通过篡改Internet咖啡馆的主磁盘，植入了特洛伊木马，键盘记录器和浏览器注入插件等恶意程序。当用户登录Steam时，将记录帐户密码。系统插件挂起：使用Internet咖啡馆中常用的“加速器/速度/用户”和“插入助手”程序，通过更新软件包或DLL劫持，植入数据报告模块，从而窃取用户信息。无杀戮劫持方法：使用DLL注入蒸汽客户端，模拟输入监视，Windows Hook API截距等窃取帐户。此方法可以同时监视多个用户，并且整个过程都保持沉默。互联网咖啡馆帐户入室盗窃

2。在《壁纸引擎（Wallpaper Engine）》钓鱼的帮助下

《壁纸引擎》 Creative Workshop支持上传任何文件，包括以非墙纸格式的可执行程序，因此它已成为黑人行业中毒的重要渠道之一。犯罪分子将恶意计划伪装成精致的壁纸和其他内容，以上传它们，诱使用户通过社区传播来订阅和执行偷偷摸摸的计划。

将伪装成“资源获取”，“完整版下载”的超链接添加到工作描述中，以诱使用户跳到恶意网站。该链接通常被伪装成Baidu NetDisk，Google Drive，Mega，Pixiv粉丝和Steam Achievement Station等平台的域名或接口。

黄色//你去毒药

3。网络钓鱼和社会工作者攻击

创建一个高质量的Steam登录页面，以诱导用户输入其帐户密码。使用QQ组，TIEBA，Steam社区和其他渠道发布假交易和游戏折扣链接以实施欺诈诱因。

如何通过黑色数字获利

1。在市场上转售游戏项目

攻击者登录到帐户后，他直接将库存中的虚拟资产（例如CSGO皮肤，DOTA2设备等）转移到中间帐户或直接在Steam市场中出售。

2.待售风险帐户

通过QQ组，卡联盟和云寄售等平台，该帐户包装有标签，例如“绑定帐户可以被修改”，“带有绑定的手机号码的数据编号”和“未禁止使用VAC”，以吸引买家。

销售黑色数字

3。转移或数量洗涤系统

使用Steam API构建自动化系统来管理被盗帐户：

使用EYA密钥绕过验证登录帐户，转移帐户余额和虚拟资产等。使用Steam Web API模拟正常的用户访问行为，以绕过平台的风险控制验证机制。

洗涤号码

二、“赛博花柳”的辨别与自救

有毒程序的特征

功能1：文件结构异常

有毒安装软件包通常具有一个单个结构，只有一个.EXE文件（没有其他CG，音频，脚本等）。可疑命名的程序文件经常出现在其压缩软件包中，例如：galgame_loader.exe，steam-login-unlock.exe，解锁补丁，单击me.bat和CG自动解锁。

功能2：特殊条件和要求

使用指定的7Z版本下载解压缩程序（实际上，您需要在旧版本的软件中使用漏洞来执行特洛伊木马）。关闭指定的软件杀死（不要相信“误报”，提示此类软件包含病毒的软件中有90）。再次登录您的Steam帐户（通常是借此机会窃取Steam登录凭据）。

功能3：运行时异常

执行文件后，没有接口或伪装的“登录窗口”弹出。弹出窗口提示您输入Steam帐户，密码和手机令牌（这是一个高风险操作）。需要关闭防病毒软件或退出防火墙以进行运行。没有响应或提示“资源权限正在验证”，实际上是在背景网络中上传数据。

迅速拯救自己

请记住，时间是确保安全的关键！如果您怀疑或发现蒸汽帐户被盗，请立即按照以下步骤最大程度地减少损失（已绕过蒸汽令牌）并防止攻击者进一步入侵。

1。立即关闭网络并关闭当前系统活动

如果您怀疑它是后门，遥控器或键盘录音机，则应立即：

关闭Wi-Fi或拔下网络电缆，不再输入任何帐户或密码以从所有网页中注销，退出Steam和其他程序

2。使用另一个安全设备登录到Steam的官方网站以修改密码

尝试使用新的，未摄制的手机或干净的计算机来执行以下操作：

立即修改密码，切断当前攻击者会话并修改电子邮件密码，并防止授权设备同时控制。

3。检查库存，交易记录，邮箱绑定等。

如果库存物品（珠宝，游戏）已转移，请：

开放蒸汽交易历史记录

尽快记录交易对象和时间，并联系Steam客户服务以提起上诉

三、样本分析

样本一

最初的样本被伪装成普通的游戏起动器，并通过《壁纸引擎》的创意研讨会传播。

墙纸引擎

该病毒主体主要用Python编写，其中包含各种伪装的库文件，然后将真实的游戏文件保存在其中一个文件夹中。样本通过Akanechantoecchi.exe执行特洛伊木马病毒和游戏程序。

病毒受试者

Akanechantoecchi.exe是一个Python程序加载程序，通过读取库dat文件来执行Python型PYC文件。

Python加载器

library.dat文件是一个txt文件，该文件存储“压缩软件包”库。包含大量PYC文件的zip。这些PYC文件由Python加载器加载和执行，并且病毒主文件隐藏在其中。

library.zip

PYC文件

_main_2.pyc文件是病毒主文件，它主要通过在内存中扫描EYA键来实现Steam帐户盗窃。

获取Steam Pid

样品使用获得的Steam PID读取内存并通过PID获得过程手柄。然后，匹配内存特征并获得EYA键。

记忆获取EYA键

之后，通过网络将从内存中获得的EYA键上传到http://1.15.55.123/erah.php。

上传eys密钥

OLLVM

通过IDA-PYTHON，发现它主要是特洛伊木马测试程序，其注射方法主要是关于暂停过程。

特洛伊木马测试计划

过程注入

样本两个

该样本在原始样本中不断变化。通过替换不同版本的Python装载机，早期变体逃避检测。已经发现他们使用多个版本，例如Python 3.8、3.12、3.13等。最新的变体使用Nuitka包装工具将PY文件转换为C文件，然后将其编译并包装到PE文件中。

Nuitka包装

该示例使用与样本相同的加载方法：通过PYC文件执行病毒和普通游戏程序。

开始病毒

在分析其被盗钥匙后，发现其获得键的方式与样本一号的方式相同：通过创建CMD过程以获取蒸汽过程的PID，然后通过打开过程句柄以获取EYA键。

CMD获得Steam Pid

获取蒸汽过程

四、附录

CC:

哈希：