เกมเอาชีวิตรอดและคราฟต์ของ Chemia ถูกถอดออกจากแพลตฟอร์ม Steam หลังจากนักวิจัยด้านความปลอดภัยทางไซเบอร์ค้นพบว่าเกมดังกล่าวมีการเผยแพร่มัลแวร์ที่ออกแบบมาเพื่อขโมยข้อมูลกระเป๋าเงินดิจิทัล (crypto wallet) และข้อมูลเบราว์เซอร์ มัลแวร์นี้เชื่อมโยงกับกลุ่มอาชญากรไซเบอร์ที่รู้จักกันในชื่อ EncryptHub หรือที่เรียกว่า Larva-208 เกมนี้เคยเปิดให้เล่นบน Steam ผ่านโปรแกรม Early Access ซึ่งอนุญาตให้ผู้ใช้เล่นเกมที่ยังอยู่ในระหว่างการพัฒนา
Steam ถอด Chemia ออกจากร้านค้าหลังถูกแฮก
มัลแวร์ฝังอยู่ในไฟล์เกม Steam
ตามรายงานที่เผยแพร่โดยบริษัทรักษาความปลอดภัยทางไซเบอร์ Prodaft ไฟล์เกม Chemia ได้รับการแก้ไขเมื่อวันที่ 22 กรกฎาคม เพื่อรวมมัลแวร์สามประเภทที่แตกต่างกัน ได้แก่ HijackLoader, Vidar Stealer และ Fickle Stealer มัลแวร์ประเภทนี้มักใช้เพื่อขโมยข้อมูลที่ละเอียดอ่อนจากผู้ใช้ รวมถึงข้อมูลประจำตัวที่เก็บไว้ในเบราว์เซอร์ คุกกี้ และคีย์กระเป๋าเงินดิจิทัล
HijackLoader ช่วยให้ผู้โจมตีสามารถเข้าถึงระบบที่ติดเชื้อได้โดยทำงานอย่างเงียบ ๆ ในพื้นหลัง Vidar Stealer และ Fickle Stealer ยังคงดึงข้อมูลส่วนบุคคลโดยกำหนดเป้าหมายพื้นที่เก็บข้อมูลบนเบราว์เซอร์และไฟล์ที่เกี่ยวข้องกับคริปโต เนื่องจากเครื่องมือเหล่านี้ไม่ส่งผลกระทบอย่างมีนัยสำคัญต่อประสิทธิภาพของเกม ผู้ใช้ส่วนใหญ่จึงไม่ทราบถึงการถูกบุกรุก
Steam ถอด Chemia ออกจากร้านค้าหลังถูกแฮก
การโจมตีมุ่งเป้าไปที่ Telegram และเซิร์ฟเวอร์ระยะไกล
การวิเคราะห์ของ Prodaft แสดงให้เห็นว่ามัลแวร์ใช้ Telegram เป็นช่องทางควบคุมและสั่งการ ด้วยการตั้งค่านี้ ผู้โจมตีสามารถส่งคำสั่งและควบคุมเครื่องที่ติดเชื้อจากระยะไกลได้ ไฟล์ที่เป็นอันตรายเพิ่มเติมถูกดาวน์โหลดผ่านไฟล์ปฏิบัติการ (executables) และสคริปต์เฉพาะ รวมถึงไฟล์ชื่อ v9d9d.exe ที่ใช้โดย Vidar Stealer และการรวมกันของไลบรารีลิงก์แบบไดนามิก (dynamic-link library) ชื่อ cclib.dll และสคริปต์ PowerShell ที่เรียกว่า worker.ps1 ซึ่งใช้โดย Fickle Stealer
ไฟล์เหล่านี้ดึงโค้ดจากเว็บไซต์ภายนอกที่ระบุว่าเป็น soft-gets[.]com โครงสร้างพื้นฐานระยะไกลนี้ช่วยให้มัลแวร์ยังคงทำงานและปรับเปลี่ยนได้ นอกจากนี้ยังช่วยให้ผู้โจมตีสามารถอัปเดตส่วนประกอบที่เป็นอันตรายได้ตลอดเวลา ซึ่งทำให้การตรวจจับและกำจัดทำได้ยากขึ้น
Steam ถอด Chemia ออกจากร้านค้าหลังถูกแฮก
Steam ถอดเกมออกโดยไม่มีแถลงการณ์อย่างเป็นทางการ
หลังจากการค้นพบ Valve ได้ถอด Chemia ออกจากร้านค้า Steam ปัจจุบันหน้าเกมในร้านค้าไม่มีอยู่แล้วและเปลี่ยนเส้นทางผู้ใช้ไปยังหน้าแรกของแพลตฟอร์ม Valve ยังไม่ได้ออกแถลงการณ์สาธารณะเกี่ยวกับการถอดเกมออก และ Aether Forge Studios ผู้พัฒนา Chemia ก็ยังไม่ได้แสดงความคิดเห็นใดๆ สื่อหลายสำนัก รวมถึง BleepingComputer ได้ติดต่อทั้งสองฝ่าย แต่ยังไม่ได้รับการตอบกลับคำขอข้อมูล
เกมนี้เผยแพร่ผ่านโปรแกรม Early Access ของ Steam ซึ่งเคยถูกวิพากษ์วิจารณ์ว่ามีการตรวจสอบความปลอดภัยและเนื้อหาที่ไม่เข้มงวด เนื่องจากเกมในส่วนนี้ยังอยู่ในระหว่างการพัฒนา จึงอาจมีความเสี่ยงต่อการเปลี่ยนแปลงโค้ดโดยไม่ได้รับอนุญาตหรือกระบวนการตรวจสอบที่ไม่เพียงพอ
โปรแกรม Early Access ของ Steam
เกม Early Access อื่นๆ ก็พบมัลแวร์เช่นกัน
เหตุการณ์นี้ไม่ใช่เหตุการณ์โดดเดี่ยว ก่อนหน้านี้ในปีเดียวกัน เกม Early Access อีกสองเกมบน Steam (Sniper: Phantom's Resolution และ PirateFi) ถูกค้นพบว่ามีซอฟต์แวร์ที่เป็นอันตราย ในขณะที่ PirateFi ถูกอธิบายว่าเป็นเกมบนเว็บ 3 (web3) ที่มีฟังก์ชันคริปโตในตัว Chemia และ Sniper: Phantom's Resolution เป็นเกม PC มาตรฐานที่ไม่มีองค์ประกอบบล็อกเชน เกมทั้งสามเกมเปิดให้เล่นในรูปแบบ Early Access ซึ่งทำให้เกิดความกังวลว่าระบบปัจจุบันของ Steam มีมาตรการป้องกันที่เพียงพอหรือไม่ในการป้องกันการเผยแพร่มัลแวร์ผ่านเกมที่ยังไม่ได้รับการตรวจสอบหรือกำลังพัฒนา
Sniper: Phantom's Resolution
EncryptHub คือใคร?
EncryptHub กลุ่มที่เชื่อมโยงกับเหตุการณ์ Chemia เคยเปิดตัวแคมเปญฟิชชิ่งขนาดใหญ่โดยใช้ชุดมัลแวร์ที่คล้ายกัน ในกรณีหนึ่งที่ได้รับการบันทึกไว้ ความพยายามของพวกเขาได้ส่งผลกระทบต่อองค์กรกว่า 600 แห่งทั่วโลก ตามรายงานของ Prodaft การใช้ Steam เป็นแพลตฟอร์มเผยแพร่ของกลุ่มนี้เป็นการพัฒนาเทคนิคก่อนหน้านี้ โดยมุ่งเน้นไปที่การใช้ประโยชน์จากความไว้วางใจของผู้ใช้ในบริการที่มีชื่อเสียง
รายงานของ Prodaft ระบุว่าไฟล์ปฏิบัติการของเกมดูเหมือนถูกต้องตามกฎหมายสำหรับผู้ใช้ที่ดาวน์โหลดโดยตรงจาก Steam วิธีการนี้หลีกเลี่ยงวิธีการฟิชชิ่งแบบดั้งเดิมและอาศัยวิศวกรรมสังคม (social engineering) ผ่านร้านค้าดิจิทัลที่น่าเชื่อถือแทน นักวิจัยเน้นย้ำว่าผู้ใช้ที่เข้าถึงเกมฟรีหรือการทดสอบเล่นสาธารณะมีความเสี่ยงเป็นพิเศษ เนื่องจากพวกเขาอาจดาวน์โหลดและติดตั้งมัลแวร์โดยเชื่อว่าเป็นส่วนหนึ่งของเกมที่ไม่เป็นอันตราย
EncryptHub
การโจมตีด้วยมัลแวร์ที่เพิ่มขึ้นในวงการเกม
ภัยคุกคามทางไซเบอร์ที่มุ่งเป้าไปที่วิดีโอเกมกำลังเพิ่มขึ้น ข้อมูลจาก Statista แสดงให้เห็นว่าการติดมัลแวร์เพิ่มขึ้น 87% ในช่วงทศวรรษที่ผ่านมา นอกจากนี้ Cybersecurity Ventures ประมาณการว่าค่าใช้จ่ายทั่วโลกของอาชญากรรมไซเบอร์จะสูงถึง 10.5 ล้านล้านดอลลาร์ภายในปี 2025 ซึ่งมากกว่าสามเท่าของตัวเลขในปี 2015 แพลตฟอร์มดิจิทัลที่มีฐานผู้ใช้จำนวนมาก เช่น Steam กำลังกลายเป็นเป้าหมายบ่อยครั้งเนื่องจากผู้ใช้ให้ความไว้วางใจในแพลตฟอร์มเหล่านี้สูง
ผู้ใช้ที่เกี่ยวข้องกับสกุลเงินดิจิทัล (digital currencies) หรือบริการเว็บ 3 (web3) มีความเสี่ยงเป็นพิเศษในกรณีดังกล่าว เมื่อเกมดึงคีย์กระเป๋าเงิน (wallet keys) หรือข้อมูลเข้าสู่ระบบ (login credentials) โดยไม่รู้ตัว ผลกระทบทางการเงินอาจเกิดขึ้นทันทีและรุนแรง กรณีของ Chemia เน้นย้ำถึงความจำเป็นในการมีกระบวนการตรวจสอบที่เข้มงวดขึ้นบนแพลตฟอร์มที่ให้บริการทั้ง เกม และกลุ่มผู้ใช้ที่เชี่ยวชาญด้านเทคโนโลยี
ข้อมูลการแฮกใน Web3 จาก DappRadar
คำแนะนำและสถานะปัจจุบัน
ปัจจุบัน Chemia ไม่มีให้ดาวน์โหลดบน Steam แล้ว อย่างไรก็ตาม ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์เตือนว่าผู้ใช้ที่ติดตั้งเกมก่อนที่จะถูกถอดออกอาจยังมีระบบที่ติดเชื้ออยู่ ขอแนะนำให้ผู้ใช้เหล่านี้สแกนคอมพิวเตอร์ด้วยเครื่องมือป้องกันไวรัสที่อัปเดตแล้ว และตรวจสอบกระเป๋าเงินดิจิทัลและบัญชีส่วนตัวเพื่อหากิจกรรมที่ผิดปกติ
ยังไม่เป็นที่แน่ชัดว่า EncryptHub เข้าถึงไฟล์เกมได้อย่างไร ความเป็นไปได้หนึ่งที่กำลังตรวจสอบคือความช่วยเหลือจากคนวงใน แม้ว่าจะยังไม่ได้รับการยืนยัน Aether Forge Studios ยังไม่ได้เผยแพร่การอัปเดตหรือการตอบกลับใดๆ ผ่านช่องทางอย่างเป็นทางการหรือโซเชียลมีเดีย
ตัวบ่งชี้ทางเทคนิคทั้งหมดที่เกี่ยวข้องกับมัลแวร์ รวมถึงชื่อไฟล์ โดเมน และพฤติกรรมของไฟล์ ได้รับการเผยแพร่โดย Prodaft บนหน้า GitHub อย่างเป็นทางการ ผู้ใช้และผู้ดูแลระบบที่อาจเคยพบเกมนี้ควรปรึกษาแหล่งข้อมูลนี้เพื่อการวิเคราะห์โดยละเอียดและการสนับสนุนการตรวจจับ
