Steam удаляет Chemia после взлома

Игра в жанре survival crafting Chemia была удалена с платформы Steam после того, как исследователи кибербезопасности обнаружили, что она распространяет вредоносное ПО, предназначенное для кражи информации из криптокошельков и данных браузеров. Вредоносное ПО связано с известной киберпреступной группировкой EncryptHub, также известной как Larva-208. Игра была доступна в Steam по программе раннего доступа, которая позволяет пользователям играть в игры, находящиеся в разработке.

Вредоносное ПО, встроенное в файлы игры Steam

Согласно отчету, опубликованному фирмой по кибербезопасности Prodaft, файлы игры Chemia были изменены 22 июля для включения трех различных типов вредоносного ПО: HijackLoader, Vidar Stealer и Fickle Stealer. Эти типы вредоносного ПО обычно используются для кражи конфиденциальной информации у пользователей, включая учетные данные, хранящиеся в браузерах, куки и ключи цифровых кошельков.

HijackLoader позволял злоумышленникам закрепиться в зараженной системе, работая незаметно в фоновом режиме. Vidar Stealer и Fickle Stealer дополнительно извлекали персональные данные, нацеливаясь на хранилища на основе браузеров и файлы, связанные с криптовалютой. Поскольку эти инструменты не оказывали значительного влияния на производительность игры, большинство пользователей оставались в неведении о компрометации.

Steam удаляет Chemia после взлома

Атака нацелена на Telegram и удаленные серверы

Анализ Prodaft показал, что вредоносное ПО использовало Telegram в качестве канала управления. Благодаря этой настройке злоумышленники могли удаленно отправлять инструкции и контролировать зараженные машины. Дополнительные вредоносные файлы были загружены через определенные исполняемые файлы и скрипты, включая файл с именем v9d9d.exe, используемый Vidar Stealer, и комбинацию динамической библиотеки с именем cclib.dll и скрипта PowerShell с именем worker.ps1, используемого Fickle Stealer.

Эти файлы извлекали код с внешнего веб-сайта, идентифицированного как soft-gets[.]com. Эта удаленная инфраструктура позволяла вредоносному ПО оставаться активным и адаптируемым. Она также предоставляла злоумышленникам возможность обновлять вредоносные компоненты в любое время, что еще больше усложняло обнаружение и удаление.

Steam удаляет Chemia после взлома

Steam удаляет игру без официального заявления

После обнаружения Valve удалила Chemia из магазина Steam. На данный момент страница игры в магазине больше не существует и перенаправляет пользователей на домашнюю страницу платформы. Valve не опубликовала публичного заявления относительно удаления, и никаких комментариев не было сделано Aether Forge Studios, разработчиками Chemia. Обе стороны были связаны с медиа-изданиями, включая BleepingComputer, но не ответили на запросы о предоставлении информации.

Игра распространялась через программу раннего доступа Steam, которая ранее подвергалась критике за менее строгие проверки безопасности и контента. Поскольку игры в этом разделе все еще находятся в разработке, они могут быть более уязвимы для несанкционированных изменений кода или недостаточных процессов проверки.

Программа раннего доступа Steam

Другие тайтлы раннего доступа также обнаружены с вредоносным ПО

Этот инцидент не является единичным. Ранее в этом году две другие игры раннего доступа в Steam (Sniper: Phantom's Resolution и PirateFi) были обнаружены содержащими вредоносное ПО. В то время как PirateFi описывалась как web3-игра со встроенной крипто-функциональностью, Chemia и Sniper: Phantom's Resolution были стандартными ПК-играми без блокчейн-элементов. Все три тайтла были доступны в раннем доступе, что вызывает опасения относительно того, обеспечивает ли текущая система Steam достаточные меры безопасности для предотвращения распространения вредоносного ПО через непроверенные или разрабатываемые тайтлы.

Sniper: Phantom's Resolution

Кто такие EncryptHub?

EncryptHub, группа, связанная с инцидентом Chemia, ранее запускала крупномасштабные фишинговые кампании, используя аналогичные комбинации вредоносного ПО. В одном задокументированном случае их усилия затронули более 600 организаций по всему миру. По данным Prodaft, недавнее использование группой Steam в качестве платформы распространения является эволюцией их более ранних методов, сосредоточенных на эксплуатации доверия пользователей к авторитетным сервисам.

В отчете Prodaft отмечается, что исполняемый файл игры выглядел легитимным для пользователей, загружающих его непосредственно из Steam. Этот подход обходил традиционные фишинговые методы и вместо этого полагался на социальную инженерию через доверенные цифровые витрины. Исследователи подчеркнули, что пользователи, получающие доступ к бесплатным играм или публичным плейтестам, особенно подвержены риску, поскольку они могут загружать и устанавливать вредоносное ПО, полагая, что это часть безвредной игры.

EncryptHub

Увеличение количества атак вредоносного ПО в гейминге

Угрозы кибербезопасности, нацеленные на видеоигры, растут. Данные Statista показывают, что количество заражений вредоносным ПО увеличилось на 87% за последнее десятилетие. Кроме того, Cybersecurity Ventures оценивает, что глобальные затраты на киберпреступность достигнут 10,5 триллионов долларов к 2025 году, что более чем в три раза превышает показатель 2015 года. Цифровые платформы с большой пользовательской базой, такие как Steam, становятся частыми целями из-за высокого уровня доверия, которое пользователи им оказывают.

Пользователи, работающие с цифровыми валютами или сервисами web3, особенно уязвимы в таких случаях. Когда игра незаметно извлекает ключи кошельков или учетные данные, финансовые последствия могут быть немедленными и серьезными. Случай с Chemia подчеркивает необходимость более строгих процессов проверки на платформах, которые обслуживают как геймерскую, так и технически подкованную аудиторию.