Mod de jogo no Steam violado para promover malware de roubo de senhas
29 de Dezembro de 2023

Downfall, uma expansão criada por fãs para o popular jogo indie de estratégia Slay the Spire, foi violada no dia de Natal para disseminar malware Epsilon, usando o sistema de atualização do Steam.

Conforme o desenvolvedor Michael Mayhem contou ao BleepingComputer, o pacote comprometido é a versão standalone modificada do jogo original e não um mod instalado via Steam Workshop.

"Um de nossos dispositivos foi atingido por malware que não foi identificado ou bloqueado pela segurança que tínhamos ativada nele.

Até onde eu sei atualmente, não era um malware para roubar senhas, já que 2FA não disparou ou parou isso, e das contas comprometidas, todas estavam sob diferentes endereços de e-mail (e nenhum desses endereços por si só foi roubado)", disse Mayhem ao BleepingComputer, indicando que está "relutante em afirmar algo com absoluta certeza" até que ele obtenha uma avaliação profissional.

"Isso nos levou a acreditar que foi um sequestro de token (como sugerido por um profissional de segurança), projetado especificamente para sequestrar o Steam e usá-lo para carregar e Discord para impedir de alertar os usuários, mas isso no momento é apenas especulação."

Os atacantes comprometeram um dos Steam e contas de Discord dos desenvolvedores de Downfall, permitindo que eles assumissem o controle da conta do mod no Steam.

"A janela de violação foi por volta das 13h30-14h30 (horário de Brasília) em 25/12.

Se você iniciou Downfall em 25/12 durante a janela de violação e recebeu um popup do instalador da biblioteca Unity, continue lendo.

Você também pode estar em risco.

A violação de segurança permitiu um upload malicioso para substituir o jogo Downfall embalado", disse Mayhem em um comunicado publicado na quarta-feira.

Assim que instalado em um computador comprometido, o malware coleta cookies e senhas salvas, além de cartões de crédito dos navegadores (Google Chrome, Yandex, Microsoft Edge, Mozilla Firefox, Brave, Vivaldi), bem como informações do Steam e Discord.

Ele também procurará documentos que contenham 'senha' nos nomes dos arquivos e por mais credenciais, incluindo o login local do Windows e do Telegram.

Usuários de Downfall são aconselhados a mudar todas as senhas importantes, especialmente aquelas para contas não protegidas pela autenticação de dois fatores (2FA).

Os usuários que receberam a atualização maliciosa relataram que o malware se instala como uma aplicação do Windows Boot Manager na pasta AppData ou como UnityLibManager na pasta /AppData/Roaming.

Epsilon Stealer é um malware que rouba informações e é vendido via Telegram e Discord para outros atores de ameaças.

É normalmente usado para mirar jogadores no Discord, enganando-os a instalar o malware sob o pretexto de testar um novo jogo.

No entanto, depois que o jogo é instalado, também é implantado o malware que, executado em segundo plano, rouba as senhas, detalhes de cartões de crédito e cookies de autenticação do usuário.

A informação roubada é usada pelos atores de ameaças para violar mais contas ou vendida em mercados escuros da web.

De acordo com os dados do VirusTotal, é provável que o ator de ameaça por trás desse ataque também tenha mirado outros jogos e desenvolvedores.

Em outubro, a Valve anunciou que agora exige verificações de segurança baseadas em SMS dos desenvolvedores que querem atualizar na branch principal do Steam.

A decisão foi tomada em resposta a um número crescente de contas Steamworks comprometidas que estavam sendo usadas para fazer o upload de construções de jogos maliciosos para infectar jogadores com malware a partir de agosto.

"Como parte de uma atualização de segurança, qualquer conta Steamworks que precisa adicionar novos usuários terá que ter um número de telefone associado à sua conta para que o Steam possa enviar um código de confirmação antes de continuar", disse Valve em outubro.

"Isso também será verdade para qualquer conta Steamworks que precise adicionar novos usuários.

Essa mudança entrará em vigor em 24 de outubro de 2023, então certifique-se de adicionar um número de telefone à sua conta agora.

Também planejamos adicionar este requisito para outras ações Steamworks no futuro."

Atualização 28/12/23: A conta de e-mail do desenvolvedor não foi violada.

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...