Miała być Chemia, a wyszedł wirus. Kolejna infekcja na Steam

Chemia, gra survivalowo-craftingowa stworzona przez studio Aether Forge Studios do niedawna dostępna jako early access na Steamie, została zainfekowana infostealerem.

Według firmy zajmującej się analizą zagrożeń Prodaft, początkowy incydent miał miejsce 22 lipca, kiedy to grupa hackerska EncryptHub dodała do plików gry złośliwe oprogramowanie HijackLoader (plik CVKRUTNP.exe), które zapewnia przetrwanie infekcji na urządzeniu ofiary i pobiera Vidar infostealer (plik v9d9d.exe).

Badacze ustalili, że malware pobiera adres serwera command-and-control (C2) z kanału na Telegramie. Kolejnym złośliwym komponentem był Fickle Stealer, dodany do gry Chemia zaledwie trzy godziny później za pomocą pliku DLL (cclib.dll). Ten plik wykorzystuje PowerShella (worker.ps1), by pobrać główny payload ze stałej domeny soft-gets[.]com.

Fickle Stealer, to trojan wykradający dane zapisane w przeglądarkach internetowych — m.in. dane logowania, informacje z autouzupełniania, ciasteczka i dane z portfeli kryptowalutowych. EncryptHub używał tego samego malware’u w dużej kampanii spear-phishingowej i socjotechnicznej w zeszłym roku, która doprowadziła do naruszenia bezpieczeństwa ponad 600 organizacji na całym świecie.

Redakcja BleepingComputer otrzymała wgląd do raportu Prodaft, z którego wynika, że złośliwe oprogramowanie działało w tle i nie powodowało spadku wydajności gry, przez co gracze mogą nie mieć pojęcia, że ich system został zainfekowany. Nie wiadomo też, w jaki sposób EncryptHub zdołał dodać złośliwe pliki do projektu gry — jedną z możliwych wersji jest udział osoby z wewnątrz (tzw. insider-threat). Twórcy gry nie wydali żadnego oficjalnego oświadczenia, ani na stronie gry na Steamie, ani w mediach społecznościowych.

To już trzeci przypadek w tym roku, gdy malware pojawia się na platformie Steam. Poprzednie przypadki to Sniper: Phantom’s Resolution (marzec) i PirateFi (luty), który był opisywany przez nas tu.

We wszystkich trzech przypadkach chodziło o gry w fazie wczesnego dostępu, a nie o pełne wersje, co może wskazywać na mniej rygorystyczne procedury weryfikacyjne od Valve (twórcy Steama) dla takich tytułów. Zalecamy zatem szczególną ostrożność przy pobieraniu gier w systemie early access.

Wracając do Chemii. Opis gry na Steamie był lakoniczny, a zrzuty ekranu prezentowały jedynie ogólne, niedopracowane tła — brakowało postaci, interfejsu czy jakiejkolwiek rozgrywki.

W sieci można znaleźć wypowiedzi, że gra została stworzona jako koń trojański — zbudowana tak, by spełniać absolutne minimum wymagań, wyglądać „wystarczająco prawdziwie” i przejść przez system publikacji Steam.

Przy słabej jakości zrzutach ekranu, braku jakiejkolwiek aktywności ze strony deweloperów i ukrytym pliku wykonywalnym w strukturze gry, Chemia wygląda rzeczywiście bardziej na pułapkę niż niezależną grę survivalową.

Sednem problemu jest jednak socjotechnika oparta na zaufaniu i autorytecie. Gdy gra trafia na Steam, użytkownicy zakładają, że przeszła podstawową weryfikację (podobnie jak w przypadku sklepów aplikacji mobilnych). Tymczasem obecny system Valve ewidentnie nie wyłapuje wszystkiego. Na ten moment jedynym realnym filtrem są zgłoszenia użytkowników i zewnętrzne analizy, takie jak ta od Prodaft. A ponieważ atakujący są coraz bardziej pomysłowi, ta luka może się tylko pogłębiać.

~Natalia Idźkowska