تم سحب لعبة البقاء والحرف Chemia من منصة Steam بعد أن اكتشف باحثو الأمن السيبراني أنها كانت توزع برامج ضارة مصممة لسرقة معلومات محفظة العملات المشفرة وبيانات المتصفح. وقد تم ربط البرامج الضارة بمجموعة مجرمي الإنترنت المعروفة باسم EncryptHub، والتي يشار إليها أيضًا باسم Larva-208. كانت اللعبة متاحة على Steam من خلال برنامج الوصول المبكر (Early Access)، الذي يسمح للمستخدمين بلعب الألعاب التي لا تزال قيد التطوير.
Steam تزيل Chemia بعد اختراق
برامج ضارة مضمنة في ملفات ألعاب Steam
وفقًا لتقرير نشرته شركة الأمن السيبراني Prodaft، تم تعديل ملفات لعبة Chemia في 22 يوليو لتشمل ثلاثة أنواع مختلفة من البرامج الضارة: HijackLoader، وVidar Stealer، وFickle Stealer. تُستخدم هذه الأنواع من البرامج الضارة عادةً لسرقة المعلومات الحساسة من المستخدمين، بما في ذلك بيانات الاعتماد المخزنة في المتصفحات، وملفات تعريف الارتباط (cookies)، ومفاتيح المحافظ الرقمية.
سمح HijackLoader للمهاجمين بالسيطرة على النظام المصاب من خلال العمل بصمت في الخلفية. واستخرج Vidar Stealer وFickle Stealer المزيد من البيانات الشخصية عن طريق استهداف التخزين القائم على المتصفح والملفات المتعلقة بالعملات المشفرة. نظرًا لأن هذه الأدوات لم تؤثر بشكل كبير على أداء اللعبة، ظل معظم المستخدمين غير مدركين للاختراق.
Steam تزيل Chemia بعد اختراق
الهجوم استهدف Telegram والخوادم البعيدة
أظهر تحليل Prodaft أن البرامج الضارة استخدمت Telegram كقناة للقيادة والتحكم. من خلال هذا الإعداد، تمكن المهاجمون من إرسال التعليمات والتحكم في الأجهزة المصابة عن بعد. تم تنزيل ملفات ضارة إضافية من خلال ملفات تنفيذية وسكربتات محددة، بما في ذلك ملف باسم v9d9d.exe الذي استخدمه Vidar Stealer، ومزيج من مكتبة الارتباط الديناميكي (dynamic-link library) المسماة cclib.dll وسكربت PowerShell يسمى worker.ps1، الذي استخدمه Fickle Stealer.
سحبت هذه الملفات التعليمات البرمجية من موقع ويب خارجي تم تحديده باسم soft-gets[.]com. سمحت هذه البنية التحتية البعيدة للبرامج الضارة بالبقاء نشطة وقابلة للتكيف. كما وفرت للمهاجمين القدرة على تحديث المكونات الضارة في أي وقت، مما يزيد من تعقيد جهود الكشف والإزالة.
Steam تزيل Chemia بعد اختراق
Steam تزيل اللعبة بدون بيان رسمي
بعد الاكتشاف، أزالت Valve لعبة Chemia من متجر Steam. حتى الآن، لم تعد صفحة المتجر الخاصة باللعبة موجودة وتعيد توجيه المستخدمين إلى الصفحة الرئيسية للمنصة. لم تصدر Valve بيانًا عامًا بخصوص الإزالة، ولم تصدر Aether Forge Studios، مطورو Chemia، أي تعليقات. تم الاتصال بالطرفين من قبل وسائل الإعلام، بما في ذلك BleepingComputer، لكنهما لم يستجيبا لطلبات الحصول على معلومات.
تم توزيع اللعبة من خلال برنامج الوصول المبكر (Early Access) الخاص بـ Steam، والذي واجه سابقًا انتقادات بسبب فحوصات السلامة والمحتوى الأقل صرامة. نظرًا لأن الألعاب في هذا القسم لا تزال قيد التطوير، فقد تكون أكثر عرضة لتغييرات التعليمات البرمجية غير المصرح بها أو عمليات المراجعة غير الكافية.
برنامج الوصول المبكر (Early Access) الخاص بـ Steam
عناوين أخرى للوصول المبكر (Early Access) تم العثور عليها أيضًا تحتوي على برامج ضارة
هذه الحادثة ليست معزولة. في وقت سابق من العام، تم اكتشاف أن لعبتين أخريين من ألعاب الوصول المبكر (Early Access) على Steam (Sniper: Phantom's Resolution وPirateFi) تحتويان على برامج ضارة. بينما وُصفت PirateFi بأنها لعبة قائمة على Web3 مع وظائف تشفير مدمجة، كانت Chemia وSniper: Phantom's Resolution ألعاب كمبيوتر قياسية بدون عناصر blockchain. كانت جميع العناوين الثلاثة متاحة كإصدارات وصول مبكر، مما أثار مخاوف حول ما إذا كان نظام Steam الحالي يوفر ضمانات كافية لمنع توزيع البرامج الضارة من خلال العناوين غير الموثوقة أو قيد التطوير.
Sniper: Phantom's Resolution
من هم EncryptHub؟
أطلقت EncryptHub، المجموعة المرتبطة بحادثة Chemia، في السابق حملات تصيد واسعة النطاق باستخدام مجموعات برامج ضارة مماثلة. في إحدى الحالات الموثقة، أثرت جهودهم على أكثر من 600 منظمة عالميًا. وفقًا لـ Prodaft، فإن استخدام المجموعة الأخير لـ Steam كمنصة توزيع هو تطور لتقنياتهم السابقة، مع التركيز على استغلال ثقة المستخدمين في الخدمات ذات السمعة الطيبة.
أشار تقرير Prodaft إلى أن الملف التنفيذي للعبة بدا شرعيًا للمستخدمين الذين قاموا بتنزيله مباشرة من Steam. تجاوز هذا النهج طرق التصيد التقليدية واعتمد بدلاً من ذلك على الهندسة الاجتماعية من خلال المتاجر الرقمية الموثوقة. أكد الباحثون أن المستخدمين الذين يصلون إلى الألعاب المجانية أو الاختبارات العامة كانوا معرضين للخطر بشكل خاص، حيث قد يقومون بتنزيل وتثبيت البرامج الضارة معتقدين أنها جزء من لعبة غير ضارة.
EncryptHub
تزايد هجمات البرامج الضارة في الألعاب
تتزايد تهديدات الأمن السيبراني التي تستهدف ألعاب الفيديو. تظهر بيانات Statista أن إصابات البرامج الضارة زادت بنسبة 87% على مدى العقد الماضي. بالإضافة إلى ذلك، تقدر Cybersecurity Ventures أن التكلفة العالمية للجرائم الإلكترونية ستصل إلى 10.5 تريليون دولار بحلول عام 2025، أي أكثر من ثلاثة أضعاف الرقم المسجل في عام 2015. أصبحت المنصات الرقمية ذات القواعد الكبيرة للمستخدمين، مثل Steam، أهدافًا متكررة بسبب المستوى العالي من الثقة الذي يضعه المستخدمون فيها.
المستخدمون الذين يتعاملون مع العملات الرقمية أو خدمات Web3 معرضون بشكل خاص في مثل هذه الحالات. عندما تقوم لعبة باستخراج مفاتيح المحفظة أو بيانات اعتماد تسجيل الدخول بصمت، يمكن أن يكون التأثير المالي فوريًا وخطيرًا. تؤكد حالة Chemia على الحاجة إلى عمليات تحقق أقوى على المنصات التي تخدم جمهورًا من الألعاب والجمهور الملم بالتكنولوجيا.
عمليات الاختراق في بيانات Web3 من DappRadar
التوصيات والوضع الحالي
في الوقت الحاضر، لم تعد Chemia متاحة للتنزيل على Steam. ومع ذلك، يحذر خبراء الأمن السيبراني من أن المستخدمين الذين قاموا بتثبيت اللعبة قبل إزالتها قد لا يزال لديهم أنظمة مصابة. يوصى هؤلاء المستخدمون بفحص أجهزة الكمبيوتر الخاصة بهم باستخدام أدوات مكافحة الفيروسات المحدثة ومراقبة محافظ العملات المشفرة والحسابات الشخصية الخاصة بهم بحثًا عن أي نشاط غير عادي.
لا يزال من غير الواضح كيف تمكنت EncryptHub من الوصول إلى ملفات اللعبة. أحد الاحتمالات التي يتم التحقيق فيها هو المساعدة الداخلية، على الرغم من أن هذا لم يتم تأكيده. لم تصدر Aether Forge Studios أي تحديثات أو ردود عبر القنوات الرسمية أو وسائل التواصل الاجتماعي.
تم نشر المؤشرات الفنية الكاملة المتعلقة بالبرامج الضارة، بما في ذلك أسماء الملفات والنطاقات وسلوكيات الملفات، بواسطة Prodaft على صفحتها الرسمية على GitHub. ويُشجع المستخدمون ومسؤولو النظام الذين ربما واجهوا اللعبة على الرجوع إلى هذا المورد للحصول على تحليل مفصل ودعم الكشف.
