Um jogo gratuito disponível na loja Steam chamado PirateFi tem distribuído o malware de roubo de informações Vidar para usuários desavisados.
O título estava presente no catálogo da Steam por quase uma semana, entre 6 e 12 de fevereiro, e foi baixado por até 1.500 usuários.
O serviço de distribuição está enviando notificações para os usuários potencialmente impactados, aconselhando-os a reinstalar o Windows por excesso de precaução.
PirateFi foi lançado na Steam na semana passada pela Seaworth Interactive, e recebeu críticas positivas.
É descrito como um jogo de sobrevivência em um mundo low-poly que envolve construção de base, fabricação de armas e coleta de alimentos.
No entanto, no início desta semana, a Steam descobriu que o jogo continha malware, mas o serviço não especificou o tipo exato.
"A conta da Steam do desenvolvedor deste jogo carregou builds na Steam que continham malware suspeito", lê-se na notificação.
"Você jogou PirateFi (3476470) na Steam enquanto esses builds estavam ativos, portanto, é provável que esses arquivos maliciosos tenham sido executados em seu computador", adverte o serviço.
As medidas recomendadas para os destinatários da notificação incluem realizar uma varredura completa do sistema usando um antivírus atualizado, verificar por softwares recém-instalados que não reconheçam, e considerar um formato do OS.
Usuários impactados também postaram avisos na página da Comunidade Steam do título, dizendo para outros não iniciarem o jogo pois seu antivírus o reconheceu como malware.
Marius Genheimer da SECUINFRA Falcon Team obteve uma amostra do malware distribuído através do PirateFi e identificou-o como uma versão do Vidar infostealer.
"Se você é um dos jogadores que baixou este 'jogo': Considere as credenciais, cookies de sessão e segredos salvos em seu navegador, cliente de e-mail, carteiras de criptomoeda, etc. comprometidos", aconselha a SECUINFRA.
A recomendação é mudar as senhas para todas as contas potencialmente afetadas e ativar a proteção de autenticação de múltiplos fatores onde possível.
O malware, identificado como Vidar através da análise dinâmica e correspondências de assinaturas YARA, estava escondido em um arquivo chamado Pirate.exe como um payload (Howard.exe) empacotado com o instalador InnoSetup.
Genheimer disse que o ator de ameaça modificou os arquivos do jogo várias vezes, usando várias técnicas de ofuscação e mudando os servidores de comando e controle para exfiltração de credenciais.
O pesquisador acredita que as referências a web3/blockchain/criptomoedas no nome PirateFi foram intencionais, para atrair uma base específica de jogadores.
A Steam não publicou números sobre quantos usuários foram impactados pelo malware PirateFi, mas estatísticas na página do título mostram que até 1.500 indivíduos podem ser impactados.
Malware infiltrando a loja Steam não é comum, mas também não é inédito.
Em fevereiro de 2023, usuários da Steam foram alvos de modos de jogo maliciosos de Dota 2 que exploravam um exploit n-day do Chrome para executar código remotamente nos computadores dos jogadores.
Em dezembro de 2023, um mod para o então popular jogo de estratégia indie Slay the Spire foi comprometido por hackers que injetaram um dropper infostealer 'Epsilon' nele.
A Steam introduziu medidas adicionais como verificação baseada em SMS para proteger os jogadores de atualizações maliciosas não autorizadas, mas o caso do PirateFi mostra que essas medidas são insuficientes.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...