Trò chơi sinh tồn kết hợp chế tạo Chemia đã bị gỡ khỏi nền tảng Steam sau khi các nhà nghiên cứu an ninh mạng phát hiện ra rằng nó đang phát tán phần mềm độc hại được thiết kế để đánh cắp thông tin ví crypto và dữ liệu trình duyệt. Phần mềm độc hại này có liên quan đến một nhóm tội phạm mạng khét tiếng có tên EncryptHub, còn được gọi là Larva-208. Trò chơi này đã có mặt trên Steam thông qua chương trình Early Access, cho phép người dùng chơi các trò chơi vẫn đang trong quá trình phát triển.
Steam gỡ bỏ Chemia sau vụ tấn công mạng
Phần mềm độc hại được nhúng trong tệp trò chơi Steam
Theo báo cáo được công bố bởi công ty an ninh mạng Prodaft, các tệp trò chơi Chemia đã được sửa đổi vào ngày 22 tháng 7 để bao gồm ba loại phần mềm độc hại khác nhau: HijackLoader, Vidar Stealer và Fickle Stealer. Các loại phần mềm độc hại này thường được sử dụng để đánh cắp thông tin nhạy cảm từ người dùng, bao gồm thông tin đăng nhập được lưu trữ trong trình duyệt, cookie và khóa ví kỹ thuật số.
HijackLoader cho phép kẻ tấn công giành quyền kiểm soát hệ thống bị nhiễm bằng cách hoạt động âm thầm trong nền. Vidar Stealer và Fickle Stealer tiếp tục trích xuất dữ liệu cá nhân bằng cách nhắm mục tiêu vào bộ nhớ dựa trên trình duyệt và các tệp liên quan đến crypto. Vì các công cụ này không ảnh hưởng đáng kể đến hiệu suất của trò chơi, hầu hết người dùng vẫn không biết về sự xâm nhập này.
Steam gỡ bỏ Chemia sau vụ tấn công mạng
Cuộc tấn công nhắm mục tiêu vào Telegram và máy chủ từ xa
Phân tích của Prodaft cho thấy phần mềm độc hại đã sử dụng Telegram làm kênh chỉ huy và kiểm soát. Thông qua thiết lập này, kẻ tấn công có thể gửi hướng dẫn và kiểm soát các máy bị nhiễm từ xa. Các tệp độc hại bổ sung đã được tải xuống thông qua các tệp thực thi và tập lệnh cụ thể, bao gồm một tệp có tên v9d9d.exe được Vidar Stealer sử dụng và sự kết hợp của một thư viện liên kết động có tên cclib.dll và một tập lệnh PowerShell có tên worker.ps1, được Fickle Stealer sử dụng.
Các tệp này đã lấy mã từ một trang web bên ngoài được xác định là soft-gets[.]com. Cơ sở hạ tầng từ xa này cho phép phần mềm độc hại duy trì hoạt động và thích ứng. Nó cũng cung cấp cho kẻ tấn công khả năng cập nhật các thành phần độc hại bất cứ lúc nào, làm phức tạp thêm các nỗ lực phát hiện và loại bỏ.
Steam gỡ bỏ Chemia sau vụ tấn công mạng
Steam gỡ bỏ trò chơi mà không có tuyên bố chính thức
Sau khi phát hiện, Valve đã gỡ Chemia khỏi cửa hàng Steam. Hiện tại, trang cửa hàng của trò chơi không còn tồn tại và chuyển hướng người dùng đến trang chủ của nền tảng. Valve chưa đưa ra tuyên bố công khai nào về việc gỡ bỏ, và Aether Forge Studios, nhà phát triển của Chemia, cũng chưa đưa ra bình luận nào. Cả hai bên đã được các hãng truyền thông, bao gồm BleepingComputer, liên hệ nhưng chưa phản hồi yêu cầu cung cấp thông tin.
Trò chơi được phân phối thông qua chương trình Early Access của Steam, vốn trước đây đã phải đối mặt với những lời chỉ trích vì các kiểm tra an toàn và nội dung ít nghiêm ngặt hơn. Vì các trò chơi trong phần này vẫn đang trong quá trình phát triển, chúng có thể dễ bị thay đổi mã trái phép hoặc quy trình xem xét không đầy đủ hơn.
Chương trình Early Access của Steam
Các tựa game Early Access khác cũng bị phát hiện có phần mềm độc hại
Sự cố này không phải là cá biệt. Đầu năm nay, hai trò chơi Early Access khác trên Steam (Sniper: Phantom's Resolution và PirateFi) đã bị phát hiện chứa phần mềm độc hại. Trong khi PirateFi được mô tả là một trò chơi Web3 với chức năng crypto tích hợp, Chemia và Sniper: Phantom's Resolution là các trò chơi PC tiêu chuẩn không có yếu tố blockchain. Cả ba tựa game đều có sẵn dưới dạng phát hành Early Access, làm dấy lên lo ngại về việc liệu hệ thống hiện tại của Steam có cung cấp đủ biện pháp bảo vệ để ngăn chặn việc phân phối phần mềm độc hại thông qua các tựa game chưa được xác minh hoặc đang phát triển hay không.
Sniper: Phantom’s Resolution
EncryptHub là ai?
EncryptHub, nhóm liên quan đến sự cố Chemia, trước đây đã phát động các chiến dịch lừa đảo quy mô lớn sử dụng các kết hợp phần mềm độc hại tương tự. Trong một trường hợp được ghi nhận, những nỗ lực của họ đã ảnh hưởng đến hơn 600 tổ chức trên toàn cầu. Theo Prodaft, việc nhóm này gần đây sử dụng Steam làm nền tảng phân phối là một sự phát triển của các kỹ thuật trước đây của họ, tập trung vào việc khai thác lòng tin của người dùng vào các dịch vụ có uy tín.
Báo cáo của Prodaft lưu ý rằng tệp thực thi trò chơi có vẻ hợp pháp đối với người dùng tải xuống trực tiếp từ Steam. Cách tiếp cận này đã bỏ qua các phương pháp lừa đảo truyền thống và thay vào đó dựa vào kỹ thuật xã hội thông qua các cửa hàng kỹ thuật số đáng tin cậy. Các nhà nghiên cứu nhấn mạnh rằng người dùng truy cập các trò chơi miễn phí hoặc các bản thử nghiệm công khai đặc biệt có nguy cơ, vì họ có thể tải xuống và cài đặt phần mềm độc hại mà tin rằng đó là một phần của trò chơi vô hại.
EncryptHub
Các cuộc tấn công phần mềm độc hại ngày càng gia tăng trong ngành game
Các mối đe dọa an ninh mạng nhắm vào trò chơi điện tử đang gia tăng. Dữ liệu từ Statista cho thấy các trường hợp nhiễm phần mềm độc hại đã tăng 87% trong thập kỷ qua. Ngoài ra, Cybersecurity Ventures ước tính rằng chi phí toàn cầu của tội phạm mạng sẽ đạt 10,5 nghìn tỷ đô la vào năm 2025, gấp hơn ba lần con số năm 2015. Các nền tảng kỹ thuật số có lượng người dùng lớn, chẳng hạn như Steam, đang trở thành mục tiêu thường xuyên do mức độ tin cậy cao mà người dùng đặt vào chúng.
Người dùng liên quan đến tiền kỹ thuật số hoặc dịch vụ Web3 đặc biệt dễ bị tổn thương trong những trường hợp như vậy. Khi một trò chơi âm thầm trích xuất khóa ví hoặc thông tin đăng nhập, tác động tài chính có thể là ngay lập tức và nghiêm trọng. Trường hợp Chemia nhấn mạnh sự cần thiết của các quy trình xác minh mạnh mẽ hơn trên các nền tảng phục vụ cả đối tượng game thủ và những người am hiểu công nghệ.
Dữ liệu về các vụ tấn công trong Web3 từ DappRadar
Khuyến nghị và tình trạng hiện tại
Hiện tại, Chemia không còn có sẵn để tải xuống trên Steam. Tuy nhiên, các chuyên gia an ninh mạng cảnh báo rằng những người dùng đã cài đặt trò chơi trước khi nó bị gỡ bỏ vẫn có thể có hệ thống bị nhiễm. Khuyến nghị rằng những người dùng này nên quét máy tính của họ bằng các công cụ chống vi-rút đã cập nhật và theo dõi ví crypto và tài khoản cá nhân của họ để tìm bất kỳ hoạt động bất thường nào.
Vẫn chưa rõ EncryptHub đã truy cập vào các tệp trò chơi bằng cách nào. Một khả năng đang được điều tra là sự hỗ trợ từ nội bộ, mặc dù điều này chưa được xác nhận. Aether Forge Studios chưa đưa ra bất kỳ cập nhật hoặc phản hồi nào thông qua các kênh chính thức hoặc mạng xã hội.
Các chỉ số kỹ thuật đầy đủ liên quan đến phần mềm độc hại, bao gồm tên tệp, tên miền và hành vi tệp, đã được Prodaft công bố trên trang GitHub chính thức của họ. Người dùng và quản trị viên hệ thống có thể đã gặp trò chơi được khuyến khích tham khảo tài nguyên này để phân tích chi tiết và hỗ trợ phát hiện.
