Steam黑产哥手法-2:WallpaperEngine投毒

admin 2026-07-14 05:48:33 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 本文剖析WallpaperEngine投毒黑产。攻击者利用创意工坊审核漏洞,通过exe壁纸、假激活工具及DLL劫持植入DcRAT木马,窃取Steam的SSFN文件和会话令牌绕过手机令牌,并盗取浏览器凭证。建议仅从官方订阅壁纸,拒绝运行可疑exe与破解工具,保持杀软开启,定期排查异常SSFN文件,此模式同样威胁其他本地存凭证的平台。 综合评分: 86 文章分类: 恶意软件,漏洞分析,威胁情报,安全意识


cover_image

Steam黑产哥手法-2:Wallpaper Engine投毒

睡个好觉 睡个好觉

鸿鹄空间安全实验室

2026年6月6日 15:01 山西

在小说阅读器读本章

去阅读

火绒、玄武安全卫士等大佬的技术文章综合整理,帮兄弟们把这事儿捋清楚

一、为啥黑客专盯Wallpaper Engine

兄弟们有没有想过,Steam上

软件那么多,黑客为啥偏偏拿Wallpaper Engine开刀?

其实原因挺简单的,一想就通:

  • 人多。 这软件Steam销量常年霸榜,国内玩家基本人手一份,攻击一次就能覆盖一大片。
  • 创意工坊天然就是投毒温床。 谁都能上传壁纸,用户一键订阅就自动下载了,审核又不严,夹带个恶意文件进去太容易了。
  • 目标人群有钱。 用这玩意的都是PC玩家,Steam账号里少说几十个游戏,CS2饰品可能还值几千上万,变现路径很清晰。
  • 成人内容当诱饵。 创意工坊里那些”擦边”壁纸大家都懂,下载的时候心虚,中招了更不好意思说,报警率极低。

火绒那篇文章管这个叫**”赛博花柳”**,我觉着这比喻绝了——跟现实里一样,越不正规的渠道越容易中招,中了还不敢跟人说。

喜欢看小黄车的兄弟们注意了,别学了安全,让自己被同行日了

二、攻击到底怎么搞的

搜了好几篇文章,发现攻击手法不止一种,给兄弟们挨个说。

第一种:创意工坊直接下毒

最经典也最常见的套路。

流程大概是这样的:攻击者在创意工坊上传一个”壁纸”,看着挺正常,但压缩包里除了壁纸文件之外,还塞了一个exe木马。用户订阅下载后,Wallpaper Engine自动解压到本地,木马就跟着进来了。

简单来说:

小红车上的壁纸总共有四种格式:    1.PKG:俗称场景类壁纸,小红车官方开发的壁纸引擎工具制作出来的    2.视频:MP4等,就是视频格式的壁纸    3.HTML:网页类    4.应用程序:exe俗称软件程序    场景类壁纸跟视频类壁纸基本上不会出现问题,可以跳过,网页类的壁纸有木马病毒的概率也比较低,我们着重要讲的是第四类,应用程序壁纸。

触发方式有两种:

  1. 应用程序类壁纸 — 这类壁纸本身就是exe,Wallpaper Engine会直接运行它。玄武安全卫士那篇文章专门分析了这种,说白了就是壁纸本身就是可执行文件,天然就能跑代码,投毒的最佳载体没有之一。
  2. 脚本调用 — 壁纸附带的脚本或配置文件里写上调用恶意exe的指令,Wallpaper Engine加载壁纸的时候顺手就把木马也启动了。

用户全程看到的只是一个正常的动态壁纸,啥异常都没有,后台木马已经开跑了。

第二种:假激活工具捆绑

这个就更经典了。你去搜”Wallpaper Engine免费版”或者”Wallpaper Engine激活工具”,下载下来的那个东西,十有八九有问题。

要么工具本身就是木马,要么破解工具是正经的但里面捆绑了木马。你双击运行”激活”的时候,木马也一块儿跑起来了。

说实话这个套路一点都不新鲜,从十几年前就有,只是换了个载体而已。

第三种:强制回滚Steam版本

这个手法有点狠,搜索结果里提到了一句话:

木马程序会强行将Steam回滚至旧版本,然后利用旧版本存在的漏洞进行攻击

具体来说就是:木马先检测你Steam是什么版本,然后偷偷替换关键文件,把Steam降级到有已知漏洞的旧版本,再利用漏洞搞事情。

这招比直接偷文件高级多了,因为它能绕过新版Steam的安全机制。

三、木马到底偷什么

这部分兄弟们一定要看仔细,知道它偷什么才能知道自己有没有中招。

SSFN文件

在哪: Steam安装目录下,文件名长这样:ssfn765611xxxxxxxxx

是啥: 你登录Steam的时候勾选了”记住密码”,Steam就会在本地生成这个文件。下次打开Steam,客户端读这个文件就能免密登录。

木马干嘛: 直接复制走。攻击者把这个文件放到自己电脑的Steam目录下,打开Steam就是你的号,不用密码不用验证码,直接进。

Steam配置文件

在哪: Steam/config/loginusers.vdf

是啥: 记录了这台电脑上登录过的Steam账号信息。

木马干嘛: 知道你有哪些账号,针对性地搞。

eya密钥和本地加密数据

在哪: Steam目录下的本地数据库文件里

是啥: Steam客户端本地缓存的加密凭证,通过逆向Steam的加密算法可以提取出登录信息。

Session Token(会话令牌)

这个是最猛的。

原理: Steam的网页端和部分客户端操作用session token认证。你登录之后,Steam给你发一个token,后续操作带着这个token就不用再验证了。

木马怎么拿: 从Steam浏览器的cookie里提取,或者从内存里dump,或者拦截网络请求。

为什么这个比密码还危险: 拿到session token之后,不用密码、不用手机令牌,直接就能操作你的账号——交易饰品、改设置、买东西,想干啥干啥。很多兄弟觉得”我有Steam手机令牌怕什么”,但session token是可以绕过手机令牌的。

四、用的什么木马:DcRAT

火绒那篇文章明确说了,检测到的是DcRAT的新变种。

DcRAT全称DarkCrystal RAT,一开始是地下论坛卖的商业木马,后来泄露了,谁都能用,就成了现在这个局面。

这玩意儿功能挺全的:

  • 远程桌面 — 在他电脑上实时看你屏幕
  • 文件管理 — 你电脑上的文件他随便翻
  • 浏览器数据 — 你保存的所有密码、cookie、自动填充全拿走
  • 键盘记录 — 你打的每一个字他都知道
  • 摄像头 — 能远程打开你摄像头
  • Discord/Telegram — 聊天记录和token都偷
  • Steam专项 — 专门针对Steam的窃取模块,SSFN、vdf、session一个不落
  • 反检测 — 反虚拟机、反调试、自动加启动项,赖着不走

DcRAT的Steam模块会自动扫描你电脑上所有Steam相关的关键文件,打个包通过HTTP回传给攻击者的服务器。整个过程可能就几秒钟。

五、DLL劫持是咋回事

标题里提到的DLL劫持,是木马用来悄悄执行自己的一个技术手段,给兄弟们解释一下。

Windows程序加载DLL的时候,会按一个顺序在不同目录下找。如果恶意DLL被放在了程序优先搜索的位置,程序就会先加载恶意的那个。

放在Wallpaper Engine的场景里:

  1. 你订阅的壁纸解压后存在本地某个目录
  2. 木马在这个目录里放了一个跟Wallpaper Engine要用的DLL同名的文件
  3. Wallpapper Engine加载壁纸的时候,先找到了恶意DLL,加载执行
  4. 恶意DLL干完坏事儿之后,再把调用转发给真正的DLL
  5. 你全程啥感觉都没有,壁纸正常显示

这招妙就妙在:恶意代码是在正常进程里跑的,不会多出来一个可疑进程,杀毒软件光看进程行为根本看不出来。

六、怎么防

说几个实在的:

  1. 别从第三方网站下载Wallpaper Engine资源。 什么”免费壁纸包”、”破解资源合集”,这些是重灾区。只用Steam创意工坊官方渠道订阅。
  2. 应用程序类壁纸多个心眼。 这类壁纸本身就是exe,天然能执行代码。如果一个壁纸还让你装什么组件、运行什么脚本,直接删了没商量。
  3. 定期检查SSFN文件。 正常一台电脑就一个SSFN,你去看看Steam目录下,如果有不认识的SSFN文件,说明可能被盗过。
  4. 手机令牌还是得开。 虽然session token能绕过,但手机令牌仍然能挡住大部分交易操作,有总比没有强。
  5. 别关杀毒软件。 下载”破解工具”的时候关杀毒软件,等于自己把门打开了。你觉得火绒误报,其实它可能是唯一救你的那一下。
  6. Steam密码别跟别的平台一样。 撞库这事儿太常见了,专门给Steam设一个独立密码。
  7. 定期清理已授权设备。 Steam设置里看看,把不认识的设备踢掉。

七、不只是Steam的事

兄弟你别觉得”我又不玩Steam无所谓”。

这个攻击模式换个平台一模一样:

  • Epic Games — 同样有本地凭证文件,同样的偷法
  • Discord — DcRAT本身就内置Discord token窃取,拿到就能控制你的账号发广告、诈骗你好友
  • 浏览器保存的密码 — 几乎所有远程木马都带浏览器数据窃取功能
  • 加密货币钱包 — 钱包文件存在本地的话,木马扫到就直接带走

说到底就一句话:凡是本地存了凭证的软件,都是木马的菜。 只是偷的难度不同、变现的方式不同而已。

这类攻击本质上就是利用你的信任——你信任创意工坊、信任Wallpaper Engine、信任网上下的”免费工具”,攻击者就利用这些信任把木马塞进来。现在能做的就是每一步都多想一下:下载前看看来源靠不靠谱、运行前想想有没有必要、中招后赶紧查文件改密码。

八、参考资料

  1. Steam官方:Steam Guard与账户安全 — 搞清楚Steam安全机制到底怎么运作的
  2. MITRE ATT&CK: Steal Web Session Cookie (T1539) — Session Token窃取的技术框架
  3. MITRE ATT&CK: DLL Side-Loading (T1574.002) — DLL劫持的原理和真实案例
  4. ANY.RUN沙箱: DcRAT在线分析 — 直接看DcRAT在沙箱里到底干了啥
  5. 火绒安全威胁情报中心 — 火绒的安全研究合集,Wallpaper Engine相关的分析文章不少

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:鸿鹄空间安全实验室 睡个好觉 睡个好觉《Steam黑产哥手法-2:Wallpaper Engine投毒》

评论:0   参与:  0