Hayatta kalma ve zanaat oyunu Chemia, siber güvenlik araştırmacılarının kripto cüzdan bilgileri ve tarayıcı verilerini çalmak üzere tasarlanmış kötü amaçlı yazılım dağıttığını keşfetmesinin ardından Steam platformundan kaldırıldı. Kötü amaçlı yazılım, Larva-208 olarak da bilinen EncryptHub adlı bilinen bir siber suçlu grupla ilişkilendirildi. Oyun, geliştirme aşamasında olan oyunların oynanmasına izin veren Erken Erişim programı aracılığıyla Steam'de mevcuttu.
Steam Hack Sonrası Chemia'yı Kaldırdı
Steam Oyun Dosyalarına Gömülü Kötü Amaçlı Yazılım
Siber güvenlik firması Prodaft tarafından yayınlanan bir rapora göre, Chemia oyun dosyaları 22 Temmuz'da üç farklı türde kötü amaçlı yazılım eklemek üzere değiştirildi: HijackLoader, Vidar Stealer ve Fickle Stealer. Bu tür kötü amaçlı yazılımlar, tarayıcılarda depolanan kimlik bilgileri, çerezler ve dijital cüzdan anahtarları dahil olmak üzere kullanıcılardan hassas bilgileri çalmak için yaygın olarak kullanılır.
HijackLoader, saldırganların arka planda sessizce çalışarak enfekte sistemde bir yer edinmelerini sağladı. Vidar Stealer ve Fickle Stealer, tarayıcı tabanlı depolama ve kripto ile ilgili dosyaları hedefleyerek kişisel verileri daha da çıkardı. Bu araçlar oyunun performansını önemli ölçüde etkilemediği için çoğu kullanıcı ihlalden habersiz kaldı.
Steam Hack Sonrası Chemia'yı Kaldırdı
Saldırı Telegram ve Uzak Sunucuları Hedef Aldı
Prodaft'ın analizi, kötü amaçlı yazılımın komuta ve kontrol kanalı olarak Telegram kullandığını gösterdi. Bu kurulum aracılığıyla saldırganlar, uzaktan komutlar gönderebildi ve enfekte makineleri kontrol edebildi. Vidar Stealer tarafından kullanılan v9d9d.exe adlı bir dosya ve Fickle Stealer tarafından kullanılan dinamik bağlantı kitaplığı cclib.dll ile bir PowerShell betiği olan worker.ps1 kombinasyonu dahil olmak üzere belirli yürütülebilir dosyalar ve betikler aracılığıyla ek kötü amaçlı dosyalar indirildi.
Bu dosyalar, soft-gets[.]com olarak tanımlanan harici bir web sitesinden kod çekti. Bu uzak altyapı, kötü amaçlı yazılımın aktif ve uyarlanabilir kalmasını sağladı. Ayrıca saldırganlara kötü amaçlı bileşenleri herhangi bir zamanda güncelleme yeteneği sağladı, bu da tespit ve kaldırma çabalarını daha da karmaşık hale getirdi.
Steam Hack Sonrası Chemia'yı Kaldırdı
Steam Resmi Açıklama Olmadan Oyunu Kaldırdı
Keşfin ardından Valve, Chemia'yı Steam mağazasından kaldırdı. Şu an itibarıyla oyunun mağaza sayfası artık mevcut değil ve kullanıcıları platformun ana sayfasına yönlendiriyor. Valve, kaldırma hakkında halka açık bir açıklama yayınlamadı ve Chemia'nın geliştiricileri olan Aether Forge Studios'tan herhangi bir yorum gelmedi. BleepingComputer dahil medya kuruluşları her iki tarafla da temasa geçti ancak bilgi taleplerine yanıt vermediler.
Oyun, daha önce daha az titiz güvenlik ve içerik kontrolleri nedeniyle eleştirilere maruz kalan Steam'in Erken Erişim programı aracılığıyla dağıtılıyordu. Bu bölümdeki oyunlar hala geliştirme aşamasında olduğundan, yetkisiz kod değişikliklerine veya yetersiz inceleme süreçlerine daha duyarlı olabilirler.
Steam'in Erken Erişim Programı
Diğer Erken Erişim Oyunlarında da Kötü Amaçlı Yazılım Bulundu
Bu olay münferit değil. Yılın başlarında, Steam'deki diğer iki Erken Erişim oyunu (Sniper: Phantom's Resolution ve PirateFi) zararlı yazılım içerdiği tespit edildi. PirateFi, yerleşik kripto işlevselliğine sahip bir web3 tabanlı oyun olarak tanımlanırken, Chemia ve Sniper: Phantom's Resolution blockchain öğeleri olmayan standart PC oyunlarıydı. Her üç başlık da Erken Erişim sürümleri olarak mevcuttu ve bu da Steam'in mevcut sisteminin doğrulanmamış veya geliştirilmekte olan oyunlar aracılığıyla kötü amaçlı yazılım dağıtımını önlemek için yeterli güvenlik önlemleri sağlayıp sağlamadığı konusunda endişelere yol açtı.
Sniper: Phantom's Resolution
EncryptHub Kimdir?
Chemia olayıyla bağlantılı olan EncryptHub grubu, daha önce benzer kötü amaçlı yazılım kombinasyonlarını kullanarak büyük ölçekli kimlik avı kampanyaları başlatmıştı. Belgelenmiş bir vakada, çabaları dünya çapında 600'den fazla kuruluşu etkiledi. Prodaft'a göre, grubun Steam'i dağıtım platformu olarak kullanması, güvenilir hizmetlere olan kullanıcı güveninden yararlanmaya odaklanan önceki tekniklerinin bir evrimidir.
Prodaft raporu, oyun yürütülebilir dosyasının Steam'den doğrudan indiren kullanıcılara meşru göründüğünü belirtti. Bu yaklaşım, geleneksel kimlik avı yöntemlerini atlayarak bunun yerine güvenilir dijital mağazalar aracılığıyla sosyal mühendisliğe dayandı. Araştırmacılar, ücretsiz oyunlara veya halka açık oyun testlerine erişen kullanıcıların, zararsız bir oyunun parçası olduğuna inanarak kötü amaçlı yazılım indirip kurabilecekleri için özellikle risk altında olduğunu vurguladılar.
EncryptHub
Oyunlarda Kötü Amaçlı Yazılım Saldırıları Artıyor
Video oyunlarını hedef alan siber güvenlik tehditleri artıyor. Statista verileri, kötü amaçlı yazılım enfeksiyonlarının son on yılda %87 arttığını gösteriyor. Ek olarak, Cybersecurity Ventures, küresel siber suç maliyetinin 2025 yılına kadar 10,5 trilyon dolara ulaşacağını, bunun 2015'teki rakamın üç katından fazla olduğunu tahmin ediyor. Steam gibi büyük kullanıcı tabanlarına sahip dijital platformlar, kullanıcıların onlara duyduğu yüksek güven seviyesi nedeniyle sık sık hedef haline geliyor.
Dijital para birimleri veya web3 hizmetleriyle ilgilenen kullanıcılar bu tür durumlarda özellikle savunmasızdır. Bir oyun sessizce cüzdan anahtarlarını veya oturum açma kimlik bilgilerini çıkardığında, finansal etki anında ve ciddi olabilir. Chemia vakası, hem oyun hem de teknoloji meraklısı kitlelere hizmet veren platformlarda daha güçlü doğrulama süreçlerinin gerekliliğini vurgulamaktadır.
DappRadar'dan Web3 Verilerinde Hack'ler
Öneriler ve Mevcut Durum
Şu anda Chemia Steam'de indirilemiyor. Ancak siber güvenlik uzmanları, kaldırmadan önce oyunu yükleyen kullanıcıların sistemlerinin hala enfekte olabileceği konusunda uyarıyor. Bu kullanıcıların bilgisayarlarını güncel antivirüs araçlarıyla taramaları ve kripto cüzdanlarını ve kişisel hesaplarını herhangi bir olağandışı etkinlik için izlemeleri önerilir.
EncryptHub'ın oyun dosyalarına nasıl erişim sağladığı belirsizliğini koruyor. Araştırılan bir olasılık, içeriden yardım olasılığıdır, ancak bu doğrulanmamıştır. Aether Forge Studios, resmi kanallar veya sosyal medya aracılığıyla herhangi bir güncelleme veya yanıt yayınlamadı.
Dosya adları, alan adları ve dosya davranışları dahil olmak üzere kötü amaçlı yazılımla ilgili tam teknik göstergeler, Prodaft tarafından resmi GitHub sayfasında yayınlanmıştır. Oyunla karşılaşmış olabilecek kullanıcılar ve sistem yöneticileri, ayrıntılı analiz ve tespit desteği için bu kaynağa başvurmaya teşvik edilir.
