Um ator de ameaças chamado EncryptHub comprometeu um jogo no Steam para distribuir malware de furto de informações a usuários desavisados que baixavam o título.
Há alguns dias, o hacker (também monitorado como Larva-208), injetou binários maliciosos nos arquivos do jogo Chemia hospedados no Steam.
Chemia é um jogo de sobrevivência e criação desenvolvido pela 'Aether Forge Studios', que atualmente está disponível como acesso antecipado no Steam, mas sem data de lançamento público anunciada.
Intitulado Chemia, também rastreado como ‘Fickle Stealer’ e ‘HijackLoader malware’ em jogadores desavisados que baixaram o título.
De acordo com a inteligência de ameaças Prodaft, o comprometimento inicial ocorreu em 22 de julho, quando EncryptHub adicionou aos arquivos do jogo o malware HijackLoader (CVKRUTNP.exe), que estabelece persistência no dispositivo da vítima e baixa o Vidar infostealer (v9d9d.exe).
Os pesquisadores descobriram que o malware recuperava o endereço de command-and-control (C2) de um canal do Telegram.
A segunda peça de malware foi o Fickle Stealer, adicionado ao Chemia apenas três horas depois através de um arquivo DLL (cclib.dll).
O arquivo usa PowerShell (‘worker.ps1’) para buscar o payload principal de soft-gets[.]com.
Fickle Stealer é um malware que rouba informações armazenadas em navegadores web, como credenciais de contas, informações de preenchimento automático, cookies e dados de carteiras de criptomoedas.
EncryptHub usou o mesmo malware em uma massiva campanha de spear-phishing e engenharia social no ano passado, que comprometeu mais de seiscentas organizações mundialmente.
O ator de ameaças é um caso peculiar no espaço do cibercrime, pois está ligado tanto à exploração maliciosa de vulnerabilidades zero-day do Windows quanto à divulgação responsável de falhas críticas para a Microsoft.
“O executável comprometido parece legítimo para usuários que baixam do Steam, criando um componente eficaz de engenharia social que depende da confiança na plataforma, em vez das técnicas tradicionais de decepção”, lê-se no relatório que a Prodaft compartilhou com o site BleepingComputer.
“Quando os usuários clicam no Playtest deste jogo, que encontram nos jogos gratuitos, estão na verdade baixando software malicioso”, dizem os pesquisadores.
A Prodaft explica que o malware roda em segundo plano e não impacta o desempenho do jogo, deixando os jogadores sem noção do comprometimento.
Não está claro como o EncryptHub conseguiu adicionar os arquivos maliciosos ao projeto do jogo, mas uma explicação poderia ser a ajuda de um insider.
O desenvolvedor do jogo não publicou nenhum comunicado oficial na página do jogo no Steam ou nas redes sociais.
O site BleepingComputer contatou tanto a Chemia quanto a Valve com um pedido de comentários e atualizaremos este post quando recebermos uma resposta.
Enquanto isso, o jogo permanece disponível no Steam, e não está claro se a versão mais recente está limpa de malware ou ainda perigosa para baixar.
Até que anúncios oficiais sejam feitos pelo Steam, seria melhor evitá-lo completamente.
Este é o terceiro caso de malware infiltrando-se no Steam este ano.
Os anteriores foram ‘Sniper: Phantom’s Resolution’ em março e ‘PirateFi’ em fevereiro.
Em todos os três casos, os títulos eram jogos em acesso antecipado e não lançamentos estáveis, o que pode indicar procedimentos de revisão mais flexíveis do Steam para tais títulos.
Dito isso, é aconselhável cautela ao baixar títulos em "progresso".
Indicadores de comprometimento deste último ataque do EncryptHub estão disponíveis aqui.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...