Хакеры посадили Steam -игру с вредоносным ПО, чтобы украсть пароли геймеров

На прошлой неделе Valve удалил игру из своего интернет -магазина Steam, потому что продукт был прорезится вредоносным ПО.

После удаления игры, которая была названа Piratefi, исследователи безопасности проанализировали вредоносное ПО и обнаружили, что тот, кто посадил ее, изменил существующую видеоигру, пытаясь обмануть геймеров в установку информационного стилера под названием Vidar.

Мариус Дженхеймер, исследователь, который проанализировал вредоносное ПО и работает в команде Secuinfra Falcon, сказал TechCrunch, что суждение по командным и контрольным серверам, связанным с вредоносными программами, и ее конфигурацией: «Мы подозреваем, что Piratefi был лишь одним из нескольких тактик, используемых для распределения полезной нагрузки Vidar. en масса.

«Весьма вероятно, что это никогда не была законной бегущей игрой, которая была изменена после первой публикации», — сказал Дженхеймер.

Другими словами, Piratefi была разработана для распространения вредоносных программ.

Genheimer и коллеги также обнаружили, что Piratefi был построен путем изменения существующего шаблона игры под названием Easy Survival RPG, который считает себя приложением для создания игры, которое «дает вам все необходимое для разработки собственной игры для одного игрока или многопользователя». Макер игр стоит от 399 до 1099 долларов сша на лицензию.

Это объясняет, как хакеры смогли отправить функционирующую видеоигру со своей вредоносной программой без особых усилий.

Согласно Genheimer, вредоносное ПО для инфинации Vidar способна красть и экстрафильтрировать несколько типов данных с компьютеров, которые он заражает, в том числе: пароли из функции автозаполнения веб -браузера, куки сеанса, которые можно использовать для входа в систему как кто -то без необходимости своего пароля, История веб-браузера, детали кошелька криптовалюты, снимки экрана и двухфакторные коды из определенных генераторов токенов, а также другие файлы в компьютер человека.

Vidar использовался в нескольких хакерских кампаниях, в том числе одну, пытаясь украсть учетные данные отеля Booking.com, другие с целью развертывания вымогателей и еще одну попытку поставить вредоносную рекламу в результатах поиска Google. В течение 2024 года Центр координации кибербезопасности сектора здравоохранения (HC3) сообщил, что Vidar, который был впервые обнаружен в 2018 году, «вырос как один из самых успешных инфостеров».

Инфостаолеры — это общие типы вредоносных программ, предназначенных для кражи информации и данных с компьютера жертвы. Инфостаолеры часто продаются в модели вредоносного ПО в качестве услуги, что означает, что вредоносное ПО может быть приобретено и используется даже хакерами с небольшим мастерством. Это также делает идентификацию, кто стоял за пиратефи, «очень трудным», сказал Дженхеймер, поскольку Видар «широко принят многими киберпреступниками».

Связаться с нами

У вас есть больше информации об этом вредоносном ПО или других хакетах, связанных с видеоиграми? Из неработающего устройства и сети вы можете надежно связаться с Lorenzo Franceschi-Bicchierai по сигналу +1 917 257 1382, или через Telegram и Keybase @lorenzofb или по электронной почте. Вы также можете связаться с TechCrunch через Securedrop.

Genheimer сказал, что они проанализировали несколько образцов вредоносного ПО, включенного в Piratefi, один из которых был найден в онлайн -хранилище вредоносных программ, который, по -видимому, был загружен геймером в России; Еще один, который они определили через SteamDB, веб -сайт, который публикует информацию об играх, размещенных в Steam. Исследователи нашли другую выборку в базе данных интеллекта угроз, к которой они имеют доступ. Все три образца вредоносных программ имеют одинаковую функциональность, согласно Genheimer.

Valve не ответил на запрос TechCrunch о комментариях.

Seaworth Interactive, предполагаемые разработчики Piratefi, не имеет явного присутствия в Интернете. До прошлой недели в игре была учетная запись X, которая теперь была удалена. Учетная запись включала ссылку на игру в Steam.

Владельцы учетной записи не ответили на запрос общаться через прямое сообщение, прежде чем он был удален.