Steam盗号病毒预警：警惕B站UP主“推荐”恶意软件

反作弊机制和匹配的公平性往往是竞技类游戏的重要决定性因素，由此也诞生了对应的技术平台，其中就包括Faceit。Faceit类似于国内的完美平台、5E 对战平台等第三方对战平台，主要为第一人称射击游戏提供在线匹配、反作弊服务等服务，受到不少游戏玩家的青睐。

近日，火绒团队收到用户反馈称有一款通过仿冒Faceit反作弊软件官网进行传播的Steam盗号程序，正借助B站视频广泛扩散，严重威胁Steam玩家的财产与信息安全，随后火绒工程师针对样本展开分析。在此也建议大家提高警惕，切勿轻信不明链接；如遇问题，应及时通过官方正规渠道寻求解决方案。火绒最新版本病毒库已实现相关防护，请广大用户及时升级火绒病毒库。

查杀图

该视频（https://www.bilibili.com/video/BV1fsZ6YcEjZ）以“修复反作弊问题”为引，诱导用户访问仿冒网站Faceit反作弊软件官网的恶意网站（faciet.client-ac.com/cn）并下载其中的盗号程序。

B站视频

该样本主要由"FACEIT Anti_Cheat.exe"，"FACEIT Anti_Cheat.dll"和"SteamKit2.dll" 三个文件组成形成盗号路径，作用分别为“启动器”、“恶意主模块-用于展示窗口和将密码账号收集起来发往 Telegram 机器人”、“Steam 账号认证与通信模块”。

登录Steam并将账号密码以及Token上传至Telegram Bot

"FACEIT Anti-Cheat.exe"是安装包，安装完后其中的"FACEIT Anti_Cheat.exe"程序是加载器，用于加载"FACEIT Anti_Cheat.dll"并调用 Main 函数，随后会创建诱导用户输入账号密码的窗口，在用户输入账号密码之后点击登录则会执行 loginButton_Click 函数，最终执行 LoginIn 函数。

登录Steam账号

其利用SteamKit开源项目库与Steam服务器进行通信，验证账号密码与授权码是否正确。一旦验证成功，便会将账号数据实时传至Telegram机器人特定聊天框，实现Steam盗号。

填写邮箱验证码

手机 Steam App 弹出“确认/拒绝”通知等待验证

数据发送至Telegram机器人特定聊天框