Grasz w gry ze Steama? Uważaj na złośliwe oprogramowanie

Po długim dniu pracy chcesz się odprężyć i pyknąć w jakąś gierkę. Wchodzisz więc na Steama i wybierasz coś nowego, a tam… cały na biało malware.

TL;DR:

• W zeszłym tygodniu na Steamie pojawiła się darmowa gra w stylu low-poly o nazwie PirateFi
• Po niedługim czasie gracze zaczęli otrzymywać wiadomości o wykryciu malware w nowych wersjach gry, przesyłanych przez dewelopera Seaworth Interactive
• Złośliwe oprogramowanie zostało zidentyfikowane jako złodziej danych o nazwie Vidar 
• Steam poinformował o usunięciu gry ze swojej platformy ale do tego momentu zdążyło ją pobrać około 1500 osób

Chodzi o darmową grę PirateFi udostępnioną na Steam przez Seaworth Interactive w zeszłym tygodniu. Twórcy opisywali ją jako survivalową przygodę w świecie low-poly, w którą można wyruszyć samemu lub z przyjaciółmi (multiplayer mode). 

Grę od 6 lutego 2025 roku pobrało około 1500 osób. Niewątpliwie miały one okazję doświadczyć sztuki przetrwania na własnej skórze, bo po niedługim czasie Steam zaczął informować graczy o wykryciu w plikach gry złośliwego oprogramowania.

„Konto dewelopera tej gry przesłało na Steam wersje zawierające podejrzane oprogramowanie” – czytamy w wiadomości.

„Grałeś w PirateFi (3476470) na Steam, gdy te wersje były aktywne, więc istnieje duże prawdopodobieństwo, że złośliwe pliki uruchomiły się na Twoim komputerze” – ostrzega platforma.

Steam zalecił pełne skanowanie systemu aktualnym programem antywirusowym, sprawdzenie nowo zainstalowanego oprogramowania pod kątem nieznanych aplikacji oraz rozważenie reinstalacji systemu operacyjnego.

Sami gracze również zamieścili ostrzeżenia na stronie społeczności Steam, radząc innym, by nie uruchamiali gry, ponieważ ich programy antywirusowe wykryły w niej malware. Wskazywali też na usuwanie negatywnych komentarzy przez dewelopera oraz kradzież zrzutów ekranu i video ze strony sprzedającej narzędzie do tworzenia gier Easy Survival RPG.

Próbka złośliwego oprogramowania została zbadana przez zespół SECUINFRA, które zidentyfikowało je jako odmianę stealera Vidar.

Vidar jest złośliwym oprogramowaniem wykorzystywanym do wykradania danych użytkowników. Są to m.in. dane logowania do serwisów, portfele kryptowalut oraz ciasteczka przeglądarek.

Na podstawie analizy, ustalono że był ukryty w pliku Pirate.exe jako payload (Howard.exe) i został spakowany przy użyciu instalatora InnoSetup.

Jak opisuje jeden z graczy na SteamCommunity: Po uruchomieniu „gry” infekcja rozpakowuje się do /AppData/Temp/****/ i wygląda jak Howard.exe. Działa z parametrem /VERYSILENT i nie jest wyświetlany użytkownikowi (działa w tle). Po uruchomieniu pobiera pliki cookie z przeglądarki i próbuje uzyskać dostęp do stron pocztowych (np. mail.ru, yandex.ru, gmail.com, telegram.com itp.) i zbiera z nich informacje lub tworzy nowe pliki cookie i wysyła je do hackerów.

Co robi Vidar Stealer?
🔹 Kradnie pliki cookie z Twojej przeglądarki (zapamiętane loginy i sesje z różnych stron).
🔹 Próbuje dostać się do Twojej poczty i komunikatorów, np. Gmaila, Telegrama, LinkedIn.
🔹 Zbiera dane lub tworzy fałszywe sesje, a potem wysyła je do hakera, który go stworzył.

Jak ustaliło BleepingComputer atakujący kilkukrotnie modyfikował pliki gry, stosując różne techniki zaciemniania kodu oraz zmieniając serwery command-and-control (C2) służące do przechwytywania skradzionych danych logowania.

Steam nie opublikował dokładnych danych na temat liczby poszkodowanych użytkowników, ale statystyki na Steam charts wskazują, że infekcja mogła dotknąć nawet 1 500 osób.

Pojawienie się malware na Steam nie zdarza się często ale takie sytuacje miały już miejsce w przeszłości:

• Luty 2023 – Złośliwe tryby gry w Dota 2 wykorzystywały exploit Chrome n-day do zdalnego wykonywania kodu na komputerach graczy.
• Grudzień 2023 – Mod do Slay the Spire został przechwycony przez hackerów, którzy wstrzyknęli do niego dropper dla stealera „Epsilon”.

Po tych wydarzeniach (i kilku innych polegających na przejmowaniu kont twórców przez hackerów i przesyłaniu złośliwych aktualizacji z malware) Valve Corporation wprowadziło dodatkowe środki ochrony, takie jak weryfikacja SMS-owa dla deweloperów publikujących na Steam. 

Tylko co, jeżeli to deweloper jest hackerem?

Przypadek PirateFi pokazuje, że jest jeszcze kilka rzeczy na które warto zwrócić uwagę przy wyborze gry:

✅ Deweloper – Sprawdź historię studia i inne ich gry. Unikaj anonimowych kont.

PirateFi to jedyna produkcja Seaworth Interactive. Deweloper nie posiada oficjalnej strony internetowej, nie jest też obecny w mediach społecznościowych. To powinno nam od razu zapalić czerwoną lampkę🚨

W sieci można trafić na doniesienia, jakoby osoby reprezentujące PirateFi oferowały na Telegramie pracę na stanowisku moderatora czatu w grze, z wynagrodzeniem wynoszącym 17 dolarów za godzinę (wypłacane w kryptowalucie $SOLANA).

W rozmowie od razu pada polecenie, by zainstalować grę i ją uruchomić 🚩
✅ Recenzje i społeczność – Warto odczekać z instalacją nowej gry, aż pojawią się pierwsze recenzje lub ostrzeżenia na forach. Brak wiarygodnych opinii to sygnały ostrzegawcze. 

Wszystkie pozytywne komentarze na temat PirateFi pochodziły od osób, które spędziły w grze mniej, niż godzinę. To oczywiście nic złego, chyba że dotyczy wszystkich 19 pochlebnych opinii 🚨
✅ Reakcja antywirusa – Jeśli wykrywa zagrożenie, nie ignoruj ostrzeżenia. Możesz przeskanować pliki gry na VirusTotal przed uruchomieniem.

✅ Zmiany w systemie – Spadki wydajności, dziwne procesy, nowe programy mogą wskazywać na infekcję.
✅ Tematyka gry – przyjrzyjmy się nazwie – ,,Pirate” może kojarzyć się z wolnością i decentralizacją, a ,,Fi” to skrót od ,,Finance”, często używany w kontekście zdecentralizowanych finansów (DeFi). To sugeruje, że twórcy gry mogli celowo wykorzystać te skojarzenia, aby zwabić określoną grupę graczy – entuzjastów kryptowalut i Web3.

Bądź czujny – lepiej sprawdzić grę dwa razy, niż dać się zainfekować! 🚨🎮

~Natalia Idźkowska