Zaufanie do platformy Steam zostało po raz kolejny wystawione na próbę. Gra "Chemia", dostępna w darmowym playteście, okazała się nośnikiem złośliwego oprogramowania kradnącego dane graczy – i to w sposób niemal niewykrywalny.
Reklama
Steam, największa na świecie platforma dystrybucji cyfrowej gier, po raz kolejny stał się celem cyberprzestępców. Według najnowszego raportu firmy Prodaft zajmującej się cyberbezpieczeństwem, gra "Chemia" została zainfekowana złośliwym oprogramowaniem mającym na celu kradzież danych użytkowników. Winny jest haker działający pod pseudonimem EncryptHub (znany także jako Larva-208), który zamieścił szkodliwe pliki bezpośrednio w instalatorze gry udostępnionej na Steamie.
To cię zainteresuje Wielkie czystki na Steam. Nowe zasady wprowadzają ogrom zamieszania i obawSytuacja na Steamie robi się beznadziejna, a zapomnijcie o graniu bez tego
Reklama
Nie pobieraj tej gry, bo możesz stracić dane
"Chemia" to gra survivalowo-przygodowa we wczesnym dostępie, tworzona przez studio Aether Forge Studios. Choć nie ma jeszcze daty premiery, tytuł był dostępny do pobrania w ramach darmowego playtestu. Właśnie w tej wersji hakerzy umieścili zainfekowane pliki, wykorzystując zaufanie użytkowników do platformy Steam.
Do zainfekowania gry doszło 22 lipca. Do plików gry dodano malware HijackLoader (plik CVKRUTNP.exe), który umożliwia utrzymanie stałego dostępu do komputera ofiary. Następnie ładowany był Vidar – znany program do kradzieży danych (v9d9d.exe), który pobiera informacje z przeglądarek internetowych, w tym loginy, hasła, ciasteczka i dane portfeli kryptowalutowych. Adres serwera dowodzenia (C2) malware pozyskiwał z kanału na Telegramie.
Zaledwie trzy godziny później do tej samej gry dołączono drugi złośliwy komponent – Fickle Stealer ukryty w pliku cclib.dll. Ten z kolei wykorzystywał skrypt PowerShell (worker.ps1) do pobrania głównego ładunku z witryny soft-gets[.]com. Fickle Stealer również koncentruje się na wykradaniu danych zapisanych w przeglądarkach użytkowników.
Czytaj dalej poniżej
To nie pierwszy raz, kiedy EncryptHub używa tych samych narzędzi – w zeszłym roku haker stał za dużą kampanią spear-phishingową, która objęła ponad 600 organizacji na całym świecie. Co ciekawe, EncryptHub to postać niejednoznaczna – ma na koncie zarówno ataki z wykorzystaniem luk typu zero-day, jak i zgłaszanie krytycznych podatności firmie Microsoft.
Złośliwe oprogramowanie zostało wplecione w grę w taki sposób, że nie wpływało na jej działanie – gra uruchamiała się i działała bez widocznych problemów, przez co użytkownicy nie mieli pojęcia, że padli ofiarą ataku. Według Prodaft, to klasyczny przykład wykorzystania tzw. zaufania platformy jako metody inżynierii społecznej: użytkownicy pobierający tytuł ze Steam nie spodziewają się zagrożenia, zwłaszcza jeśli gra działa poprawnie.
Grafika: depositphotos
Reklama
Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu
Reklama
