Chemia na Steamie ukrywa złośliwe oprogramowanie w aktualizacjach gier

Tajemnicza gra na Steamie o nazwie Chemia jest wykorzystywana do cichej dystrybucji złośliwego oprogramowania za pośrednictwem aktualizacji, twierdzą badacze. Gra, dostępna wyłącznie w ramach wczesnego dostępu na żądanie, jest powiązana ze znaną grupą hakerów i jest to już trzeci znany przypadek przedostania się złośliwego oprogramowania na platformę. Z powodu słabych zrzutów ekranu, braku publicznej obecności deweloperów i ukrytego pliku wykonywalnego w plikach, Chemia wygląda bardziej jak przynęta niż niezależna gra survivalowa. I chociaż Valve nie odpowiedziało jeszcze publicznie, sposób, w jaki ten i wcześniejsze incydenty się rozwinęły, pokazuje, że obecne zabezpieczenia Steama nie chronią sklepu przed złośliwymi grami.

Badacze ds. cyberbezpieczeństwa z Prodaft twierdzą, że w Chemia chodzi nie tylko o podejrzanych deweloperów. Według ich raportu, gra jest wykorzystywana przez grupę hakerską o nazwie Larva-208 (znaną również jako EncryptHub). Grupa ta rzekomo wstrzyknęła do gry dwa znane typy złośliwego oprogramowania: Fickle Stealer i HijackLoader. Są one aktywowane, gdy użytkownicy pobierają i uruchamiają grę, działając równolegle z samym oprogramowaniem. I chociaż Chemia jest zablokowana przez system dostępu oparty na żądaniach, nadal jest dostępna na platformie Steam.

„Kiedy użytkownicy pobierają i uruchamiają grę, złośliwe oprogramowanie uruchamia się równolegle z legalną aplikacją” – napisał Prodaft.

Ten cytat, opublikowany na GitHubie Prodaft, pojawił się wraz z opisem tego, co faktycznie dzieje się w plikach gry. Badacze twierdzą, że 22 lipca hakerzy dodali plik o nazwie

CVKRUTNP.exe

do kompilacji Chemia. Ten plik działa jak HijackLoader i jego zadaniem jest dyskretne instalowanie jeszcze większej ilości złośliwego oprogramowania, takiego jak Vidar, którego celem jest kradzież danych osobowych i danych przeglądarki zainfekowanych użytkowników.

Chemia jest rzekomo dziełem „Aether Forge Studios”, dewelopera, który nie ma strony internetowej ani realnej obecności w sieci. Sam opis na Steamie jest niejasny, opisując Chemię jako grę survivalowo-rzemieślniczą. Jednak jedyne dostępne grafiki przedstawiają generyczne, proste tła – bez postaci, bez interfejsu użytkownika, bez rozgrywki. Obecnie panuje teoria, że gra została stworzona jako koń trojański, oferujący absolutne minimum potrzebne, by wyglądać realistycznie i znaleźć się na liście na Steamie.

To nie pierwszy raz, kiedy hakerzy wykorzystali system dystrybucji Steam. W marcu doszło do kolejnego incydentu, który dotyczył nadchodzącej gry FPS o nazwie Sniper: Phantom's Resolution. W tym przypadku haker nie umieścił złośliwego oprogramowania bezpośrednio w kompilacji Steam. Zamiast tego strona gry zawierała link do zewnętrznej witryny z fałszywą wersją demonstracyjną. Ta domena

sierrasixstudios.dev

była prezentowana na oficjalnej stronie, ale prawdziwi twórcy jeszcze jej nie kupili. Oszust zarejestrował domenę, przesłał złośliwe oprogramowanie i nakłonił użytkowników do pobrania go za pośrednictwem linków do udostępniania plików.

Studio odpowiedzialne za Sniper: Phantom's Resolution potwierdziło, że zostało wplątane w aferę. Przedstawiciel firmy o imieniu Andrew wyjaśnił błąd w poście na Reddicie, mówiąc, że zespół planował w końcu stworzyć prawdziwą stronę internetową, ale nie spodziewał się, że ktoś tak szybko ją zainteresuje. Po odkryciu złośliwych plików Valve zamknęło stronę na Steamie.

Na początku tego roku inna gra o nazwie PirateFi również wymknęła się spod kontroli Valve. Była to darmowa gra, udostępniona bezpośrednio na Steamie i również zawierała złośliwe oprogramowanie. Haker promował ją na Telegramie, wykorzystując wiadomości od botów, a nawet fałszywe oferty pracy na stanowiska „moderatorów”, aby zwabić użytkowników. Nie jest jasne, w jaki sposób PirateFi ominęła zabezpieczenia Steama, a Valve nie podało szczegółów publicznie. Gra została jednak wycofana po tym, jak została oznaczona.

Różnica w stosunku do Chemia polega na tym, że jest to bardziej bezpośredni atak. Szkodliwe oprogramowanie jest częścią samej gry i jest dystrybuowane za pośrednictwem oficjalnego systemu dystrybucji Steam. Oznacza to, że hakerzy nie potrzebowali fałszywej strony internetowej ani zewnętrznych linków – po prostu wysłali aktualizację. Obecność kopii zapasowej programu do pobierania złośliwego oprogramowania w plikach pokazuje, jak działa ta konfiguracja: jedno kliknięcie instaluje grę, która z kolei instaluje ładunek, który z kolei wprowadza jeszcze więcej złośliwego oprogramowania.

Jak dotąd Valve nie wydało publicznego oświadczenia w sprawie Chemii. Gra jest dostępna tylko na żądanie, więc prawdopodobnie niewielu użytkowników ją zainstalowało. Jednak ten ograniczony zasięg nie zmienia faktu, że jest to już trzeci znany incydent związany ze złośliwym oprogramowaniem, który dotyczy platformy Steam w ciągu niecałych sześciu miesięcy.

Wszystkie trzy ataki stosowały nieco odmienne taktyki. PirateFi korzystał z wewnętrznych uploadów, Sniper wykorzystywał zewnętrzne linki domenowe, a Chemia przesyła zainfekowane aktualizacje bezpośrednio przez platformę. Ta różnorodność stanowi problem dla Valve, ponieważ pokazuje, że atakujący testują różne sposoby na obejście zabezpieczeń platformy.

Publiczne zestawienie Prodaft zawiera pełną listę nazw plików, domen i sygnatur złośliwego oprogramowania powiązanych z Chemia. Te wskaźniki zagrożenia mają pomóc producentom oprogramowania antywirusowego i administratorom IT w oznaczaniu infekcji. Jednak przeciętni użytkownicy nie mają wiele do roboty poza unikaniem nieznanych gier, zwłaszcza tych, do których dostęp wymaga specjalnych uprawnień lub które pochodzą od deweloperów nieaktywnych online.

Prodaft nie podał, jak długo Chemia była na liście przed dodaniem złośliwego oprogramowania. Pierwsze oznaki przestępstwa pojawiły się wraz z plikiem „ CVKRUTNP.exe” 22 lipca, ale prawdopodobnie nie była to pierwsza aktualizacja gry. Jeśli ktoś zainstalował grę wcześniej, nie jest jasne, czy otrzymał również wcześniejsze wersje złośliwego oprogramowania. Przeczytaj również o tym, jak Steam zwalcza gry dla dorosłych, wprowadzając nową, niejasną zasadę, którą omówiliśmy w poprzednim tekście.

Kluczowym problemem jest zaufanie. Kiedy gra pojawia się na Steamie, ludzie zakładają, że przeszła podstawową weryfikację. A obecny system Valve ewidentnie nie wychwytuje wszystkiego. Na razie jedynym prawdziwym filtrem są zgłoszenia użytkowników i badania firm zewnętrznych, takich jak Prodaft. Wraz z rosnącą kreatywnością atakujących, ta przepaść może się pogłębić.