Chemia у Steam маскує шкідливе програмне забезпечення в оновленнях ігор

Дослідники кажуть, що таємнича гра Steam під назвою Chemia використовується для непомітного поширення шкідливого програмного забезпечення через свої оновлення. Гра, доступна лише через ранній доступ на основі запитів, пов'язана з відомою хакерською групою, і це вже третій відомий випадок потрапляння шкідливого програмного забезпечення на платформу. Зі слабкими скріншотами, відсутністю публічної присутності розробників та прихованим виконуваним файлом, захованим у її файлах, Chemia більше схожа на приманку, ніж на незалежну гру на виживання. І хоча Valve ще публічно не відреагувала, те, як розгорталися цей та попередні інциденти, показує, що поточні захисні механізми Steam не стримують шкідливі ігри в магазині.

Дослідники з кібербезпеки Prodaft стверджують, що ситуація з Chemia стосується не лише тіньових розробників. Згідно з їхнім звітом, грою користується хакерська група під назвою Larva-208 (також відома як EncryptHub). Група нібито впровадила в гру два відомі типи шкідливого програмного забезпечення: Fickle Stealer та HijackLoader. Вони спрацьовують, коли користувачі завантажують та запускають гру, працюючи паралельно з самим програмним забезпеченням. І хоча Chemia заблокована за системою доступу на основі запитів, вона все ще доступна в Steam.

«Коли користувачі завантажують і запускають гру, шкідливе програмне забезпечення запускається разом із легітимною програмою», – написав Prodaft.

Ця цитата, опублікована на GitHub компанії Prodaft, супроводжувалася розбором того, що насправді відбувається у файлах гри. Дослідники кажуть, що 22 липня хакери додали файл під назвою

CVKRUTNP.exe

у збірку Chemia. Цей файл працює як HijackLoader, і його завдання полягає в непомітному завантаженні ще більшої кількості шкідливого програмного забезпечення, такого як Vidar, яке призначене для крадіжки особистої інформації та даних браузера у заражених користувачів.

__КОРОТКИЙ_ТОКЕН_0__

Chemia, ймовірно, є роботою «Aether Forge Studios», розробника, який не має ні веб-сайту, ні реальної присутності в Інтернеті. Сам опис гри в Steam є розпливчастим, описуючи Chemia як гру на виживання. Але єдині доступні візуальні ефекти показують типові, невибагливі фони — ні персонажів, ні інтерфейсу користувача, ні ігрового процесу. Поточна теорія полягає в тому, що гра була створена як троянський кінь, пропонуючи мінімум, необхідний для того, щоб виглядати реальною та бути занесеною в Steam.

Це не перший випадок, коли хакери використовують систему розповсюдження Steam. У березні ще один інцидент був пов'язаний з майбутнім FPS під назвою Sniper: Phantom's Resolution. У цьому випадку хакер не розмістив шкідливе програмне забезпечення безпосередньо в збірці Steam. Натомість сторінка гри посилалася на зовнішній сайт із підробленою демоверсією. Цей домен

sierrasixstudios.dev

був представлений на офіційній сторінці, але справжні розробники ще не купилися на нього. Шахрай зареєстрував домен, завантажив шкідливе програмне забезпечення та обманом змусив людей завантажити його через посилання для обміну файлами.

Сама студія, яка стоїть за грою Sniper: Phantom's Resolution, підтвердила, що потрапила в цю пастку. Представник на ім'я Ендрю пояснив помилку в дописі на Reddit, заявивши, що команда планувала зрештою створити справжній веб-сайт, але не очікувала, що хтось так швидко підхопить цю назву. Після виявлення шкідливих файлів Valve видалила сторінку Steam.

Раніше цього року ще одна гра під назвою PirateFi також прослизнула крізь захист Valve. Це була безкоштовна гра, завантажена безпосередньо в Steam, яка також містила шкідливе програмне забезпечення. Хакер просував її в Telegram, використовуючи повідомлення ботів і навіть фальшиві пропозиції роботи на посади «модераторів», щоб заманити людей. Незрозуміло, як PirateFi пройшла перевірки серверної частини Steam, і Valve не надала публічних подробиць. Але гру було видалено після того, як її помітили.

Різниця з Chemia полягає в тому, що це більш пряма спроба. Шкідливе програмне забезпечення є частиною самої гри та розповсюджується через офіційну систему доставки Steam. Це означає, що хакерам не потрібен був підроблений веб-сайт чи зовнішні посилання — вони просто завантажили оновлення. Наявність резервного завантажувача шкідливого програмного забезпечення всередині файлів показує, як працює ця схема: один клік встановлює гру, яка, своєю чергою, встановлює корисне навантаження, що, своєю чергою, призводить до ще більшого завантаження шкідливого програмного забезпечення.

Поки що Valve не робила публічних заяв щодо справи Chemia. Гра залишається доступною лише за запитом, тому, ймовірно, її встановили дуже мало користувачів. Але цей обмежений охоплення не змінює того факту, що це вже третій відомий інцидент, пов'язаний зі шкідливим програмним забезпеченням, що стосується Steam, менш ніж за шість місяців.

Усі три атаки використовували дещо різну тактику. PirateFi використовував внутрішні завантаження, Sniper використовував зовнішнє посилання на домен, а Chemia розповсюджувала заражені оновлення безпосередньо через платформу. Таке розмаїття є проблемою для Valve, оскільки воно показує, що зловмисники тестують різні способи обійти безпеку платформи.

Публічний аналіз Prodaft включає повний список імен файлів, доменів та сигнатур шкідливих програм, пов’язаних із Chemia. Ці індикатори компрометації мають допомогти постачальникам антивірусних програм та ІТ-адміністраторам позначати зараження. Однак пересічним користувачам нічого особливо не залишається, окрім як уникати невідомих ігор, особливо тих, для доступу до яких потрібні спеціальні запити, або тих, що належать розробникам, які не мають онлайн-присутності.

Prodaft не повідомив, як довго Chemia була у списку, перш ніж було додано шкідливе програмне забезпечення. Перші ознаки нечесної гри з'явилися у файлі " CVKRUTNP.exe" 22 липня, але це могло бути не перше оновлення гри. Якщо хтось встановлював гру раніше, незрозуміло, чи отримував він також попередні збірки шкідливого програмного забезпечення. Читайте також про те, як Steam бореться з іграми для дорослих за допомогою нового розпливчастого правила, про яке ми розповідали в попередньому тексті.

Основна проблема — довіра. Коли гра з'являється в Steam, люди вважають, що вона пройшла базову перевірку. І поточна система Valve явно не вловлює все. Наразі єдиним реальним фільтром є звіти користувачів та сторонні дослідження, такі як Prodaft. Оскільки зловмисники стають більш винахідливими, цей розрив може розширитися.