Хакер внедрил вредоносное ПО для кражи информации в ранний доступ к игре Steam

Злоумышленник под названием EncryptHub взломал игру в Steam, чтобы распространять вредоносное ПО, крадущее данные, среди ничего не подозревающих пользователей, скачивающих эту игру.

Несколько дней назад хакер (также известный как Larva-208) внедрил вредоносные двоичные файлы в файлы игры Chemia, размещенные в Steam.

Chemia — это игра в жанре survival-craft от разработчика «Aether Forge Studios», которая в настоящее время доступна в раннем доступе в Steam, но не имеет публичной даты релиза.

Chemia в Steam.
Источник: BleepingComputer.

По данным компании Prodaft, занимающейся анализом угроз, первоначальная атака произошла 22 июля, когда EncryptHub добавил в файлы игры вредоносную программу HijackLoader (CVKRUTNP.exe), которая закрепляется на устройстве жертвы и загружает инфокиллер Vidar (v9d9d.exe).

Исследователи обнаружили, что вредоносная программа извлекла адрес командно-контрольного центра (C2) из канала Telegram.

Вторым вредоносным ПО был Fickle Stealer, добавленный в Chemia всего три часа спустя через DLL-файл (cclib.dll). Файл использует PowerShell (‘worker.ps1’) для извлечения основной полезной нагрузки с сайта soft-gets[.]com .

Fickle Stealer — это похититель информации, который собирает данные, хранящиеся в веб-браузерах, такие как учетные данные, информация автозаполнения, файлы cookie и данные криптовалютных кошельков.

В прошлом году EncryptHub использовала то же вредоносное ПО в масштабной фишинговой и социальной инженерной кампании, в результате которой были скомпрометированы более шестисот организаций по всему миру.

Этот субъект угроз представляет собой особый случай в сфере киберпреступности, поскольку он связан как со злонамеренной эксплуатацией уязвимостей нулевого дня Windows, так и с ответственным раскрытием информации о критических уязвимостях компании Microsoft.

«Скомпрометированный исполняемый файл выглядит легитимным для пользователей, загружающих его из Steam, создавая эффективный компонент социальной инженерии, который опирается на доверие платформы, а не на традиционные методы обмана», — говорится в отчете, которым Prodaft поделился с BleepingComputer.

«Когда пользователи нажимают на ссылку Playtest этой игры, которую они находят среди бесплатных игр, они на самом деле загружают вредоносное программное обеспечение», — говорят исследователи.

Обзор атаки EncryptHub
Источник: Prodaft

Продафт объясняет, что вредоносное ПО работает в фоновом режиме и не влияет на производительность игрового процесса, оставляя геймеров в неведении о взломе.

Неясно, как EncryptHub удалось добавить вредоносные файлы в проект игры, но одним из объяснений может быть помощь инсайдера. Разработчик игры не публиковал официальных заявлений на своей странице в Steam или в социальных сетях.

BleepingComputer обратился к Chemia и Valve с просьбой прокомментировать ситуацию. Мы обновим этот пост, как только получим ответ.

Тем временем игра остаётся доступной в Steam, и пока неясно, содержит ли последняя версия вредоносное ПО или всё ещё опасна для скачивания. Пока Steam не сделает официальных заявлений, лучше вообще не скачивать её.

Это уже третий случай проникновения вредоносного ПО в Steam в этом году. Предыдущие были связаны с игрой « Sniper: Phantom’s Resolution » в марте и « PirateFi » в феврале.

Во всех трёх случаях игры были в раннем доступе, а не в стабильных релизах, что может указывать на более мягкую процедуру проверки таких игр в Steam. Тем не менее, рекомендуется проявлять осторожность при загрузке игр, находящихся в разработке.

Индикаторы компрометации последней атаки EncryptHub доступны здесь .