文章总结: 本文剖析WallpaperEngine投毒黑产。攻击者利用创意工坊审核漏洞,通过exe壁纸、假激活工具及DLL劫持植入DcRAT木马,窃取Steam的SSFN文件和会话令牌绕过手机令牌,并盗取浏览器凭证。建议仅从官方订阅壁纸,拒绝运行可疑exe与破解工具,保持杀软开启,定期排查异常SSFN文件,此模式同样威胁其他本地存凭证的平台。 综合评分: 86 文章分类: 恶意软件,漏洞分析,威胁情报,安全意识
Steam黑产哥手法-2:Wallpaper Engine投毒
睡个好觉 睡个好觉
鸿鹄空间安全实验室
2026年6月6日 15:01 山西
在小说阅读器读本章
去阅读
火绒、玄武安全卫士等大佬的技术文章综合整理,帮兄弟们把这事儿捋清楚
一、为啥黑客专盯Wallpaper Engine
兄弟们有没有想过,Steam上
软件那么多,黑客为啥偏偏拿Wallpaper Engine开刀?
其实原因挺简单的,一想就通:
- 人多。 这软件Steam销量常年霸榜,国内玩家基本人手一份,攻击一次就能覆盖一大片。
- 创意工坊天然就是投毒温床。 谁都能上传壁纸,用户一键订阅就自动下载了,审核又不严,夹带个恶意文件进去太容易了。
- 目标人群有钱。 用这玩意的都是PC玩家,Steam账号里少说几十个游戏,CS2饰品可能还值几千上万,变现路径很清晰。
- 成人内容当诱饵。 创意工坊里那些”擦边”壁纸大家都懂,下载的时候心虚,中招了更不好意思说,报警率极低。
火绒那篇文章管这个叫**”赛博花柳”**,我觉着这比喻绝了——跟现实里一样,越不正规的渠道越容易中招,中了还不敢跟人说。
喜欢看小黄车的兄弟们注意了,别学了安全,让自己被同行日了
二、攻击到底怎么搞的
搜了好几篇文章,发现攻击手法不止一种,给兄弟们挨个说。
第一种:创意工坊直接下毒
最经典也最常见的套路。
流程大概是这样的:攻击者在创意工坊上传一个”壁纸”,看着挺正常,但压缩包里除了壁纸文件之外,还塞了一个exe木马。用户订阅下载后,Wallpaper Engine自动解压到本地,木马就跟着进来了。
简单来说:
小红车上的壁纸总共有四种格式: 1.PKG:俗称场景类壁纸,小红车官方开发的壁纸引擎工具制作出来的 2.视频:MP4等,就是视频格式的壁纸 3.HTML:网页类 4.应用程序:exe俗称软件程序 场景类壁纸跟视频类壁纸基本上不会出现问题,可以跳过,网页类的壁纸有木马病毒的概率也比较低,我们着重要讲的是第四类,应用程序壁纸。
触发方式有两种:
- 应用程序类壁纸 — 这类壁纸本身就是exe,Wallpaper Engine会直接运行它。玄武安全卫士那篇文章专门分析了这种,说白了就是壁纸本身就是可执行文件,天然就能跑代码,投毒的最佳载体没有之一。
- 脚本调用 — 壁纸附带的脚本或配置文件里写上调用恶意exe的指令,Wallpaper Engine加载壁纸的时候顺手就把木马也启动了。
用户全程看到的只是一个正常的动态壁纸,啥异常都没有,后台木马已经开跑了。
第二种:假激活工具捆绑
这个就更经典了。你去搜”Wallpaper Engine免费版”或者”Wallpaper Engine激活工具”,下载下来的那个东西,十有八九有问题。
要么工具本身就是木马,要么破解工具是正经的但里面捆绑了木马。你双击运行”激活”的时候,木马也一块儿跑起来了。
说实话这个套路一点都不新鲜,从十几年前就有,只是换了个载体而已。
第三种:强制回滚Steam版本
这个手法有点狠,搜索结果里提到了一句话:
木马程序会强行将Steam回滚至旧版本,然后利用旧版本存在的漏洞进行攻击
具体来说就是:木马先检测你Steam是什么版本,然后偷偷替换关键文件,把Steam降级到有已知漏洞的旧版本,再利用漏洞搞事情。
这招比直接偷文件高级多了,因为它能绕过新版Steam的安全机制。
三、木马到底偷什么
这部分兄弟们一定要看仔细,知道它偷什么才能知道自己有没有中招。
SSFN文件
在哪: Steam安装目录下,文件名长这样:ssfn765611xxxxxxxxx
是啥: 你登录Steam的时候勾选了”记住密码”,Steam就会在本地生成这个文件。下次打开Steam,客户端读这个文件就能免密登录。
木马干嘛: 直接复制走。攻击者把这个文件放到自己电脑的Steam目录下,打开Steam就是你的号,不用密码不用验证码,直接进。
Steam配置文件
在哪: Steam/config/loginusers.vdf
是啥: 记录了这台电脑上登录过的Steam账号信息。
木马干嘛: 知道你有哪些账号,针对性地搞。
eya密钥和本地加密数据
在哪: Steam目录下的本地数据库文件里
是啥: Steam客户端本地缓存的加密凭证,通过逆向Steam的加密算法可以提取出登录信息。
Session Token(会话令牌)
这个是最猛的。
原理: Steam的网页端和部分客户端操作用session token认证。你登录之后,Steam给你发一个token,后续操作带着这个token就不用再验证了。
木马怎么拿: 从Steam浏览器的cookie里提取,或者从内存里dump,或者拦截网络请求。
为什么这个比密码还危险: 拿到session token之后,不用密码、不用手机令牌,直接就能操作你的账号——交易饰品、改设置、买东西,想干啥干啥。很多兄弟觉得”我有Steam手机令牌怕什么”,但session token是可以绕过手机令牌的。
四、用的什么木马:DcRAT
火绒那篇文章明确说了,检测到的是DcRAT的新变种。
DcRAT全称DarkCrystal RAT,一开始是地下论坛卖的商业木马,后来泄露了,谁都能用,就成了现在这个局面。
这玩意儿功能挺全的:
- 远程桌面 — 在他电脑上实时看你屏幕
- 文件管理 — 你电脑上的文件他随便翻
- 浏览器数据 — 你保存的所有密码、cookie、自动填充全拿走
- 键盘记录 — 你打的每一个字他都知道
- 摄像头 — 能远程打开你摄像头
- Discord/Telegram — 聊天记录和token都偷
- Steam专项 — 专门针对Steam的窃取模块,SSFN、vdf、session一个不落
- 反检测 — 反虚拟机、反调试、自动加启动项,赖着不走
DcRAT的Steam模块会自动扫描你电脑上所有Steam相关的关键文件,打个包通过HTTP回传给攻击者的服务器。整个过程可能就几秒钟。
五、DLL劫持是咋回事
标题里提到的DLL劫持,是木马用来悄悄执行自己的一个技术手段,给兄弟们解释一下。
Windows程序加载DLL的时候,会按一个顺序在不同目录下找。如果恶意DLL被放在了程序优先搜索的位置,程序就会先加载恶意的那个。
放在Wallpaper Engine的场景里:
- 你订阅的壁纸解压后存在本地某个目录
- 木马在这个目录里放了一个跟Wallpaper Engine要用的DLL同名的文件
- Wallpapper Engine加载壁纸的时候,先找到了恶意DLL,加载执行
- 恶意DLL干完坏事儿之后,再把调用转发给真正的DLL
- 你全程啥感觉都没有,壁纸正常显示
这招妙就妙在:恶意代码是在正常进程里跑的,不会多出来一个可疑进程,杀毒软件光看进程行为根本看不出来。
六、怎么防
说几个实在的:
- 别从第三方网站下载Wallpaper Engine资源。 什么”免费壁纸包”、”破解资源合集”,这些是重灾区。只用Steam创意工坊官方渠道订阅。
- 应用程序类壁纸多个心眼。 这类壁纸本身就是exe,天然能执行代码。如果一个壁纸还让你装什么组件、运行什么脚本,直接删了没商量。
- 定期检查SSFN文件。 正常一台电脑就一个SSFN,你去看看Steam目录下,如果有不认识的SSFN文件,说明可能被盗过。
- 手机令牌还是得开。 虽然session token能绕过,但手机令牌仍然能挡住大部分交易操作,有总比没有强。
- 别关杀毒软件。 下载”破解工具”的时候关杀毒软件,等于自己把门打开了。你觉得火绒误报,其实它可能是唯一救你的那一下。
- Steam密码别跟别的平台一样。 撞库这事儿太常见了,专门给Steam设一个独立密码。
- 定期清理已授权设备。 Steam设置里看看,把不认识的设备踢掉。
七、不只是Steam的事
兄弟你别觉得”我又不玩Steam无所谓”。
这个攻击模式换个平台一模一样:
- Epic Games — 同样有本地凭证文件,同样的偷法
- Discord — DcRAT本身就内置Discord token窃取,拿到就能控制你的账号发广告、诈骗你好友
- 浏览器保存的密码 — 几乎所有远程木马都带浏览器数据窃取功能
- 加密货币钱包 — 钱包文件存在本地的话,木马扫到就直接带走
说到底就一句话:凡是本地存了凭证的软件,都是木马的菜。 只是偷的难度不同、变现的方式不同而已。
这类攻击本质上就是利用你的信任——你信任创意工坊、信任Wallpaper Engine、信任网上下的”免费工具”,攻击者就利用这些信任把木马塞进来。现在能做的就是每一步都多想一下:下载前看看来源靠不靠谱、运行前想想有没有必要、中招后赶紧查文件改密码。
八、参考资料
- Steam官方:Steam Guard与账户安全 — 搞清楚Steam安全机制到底怎么运作的
- MITRE ATT&CK: Steal Web Session Cookie (T1539) — Session Token窃取的技术框架
- MITRE ATT&CK: DLL Side-Loading (T1574.002) — DLL劫持的原理和真实案例
- ANY.RUN沙箱: DcRAT在线分析 — 直接看DcRAT在沙箱里到底干了啥
- 火绒安全威胁情报中心 — 火绒的安全研究合集,Wallpaper Engine相关的分析文章不少
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:鸿鹄空间安全实验室 睡个好觉 睡个好觉《Steam黑产哥手法-2:Wallpaper Engine投毒》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。










评论