Das Survival-Crafting-Game Chemia wurde von der Steam-Plattform entfernt, nachdem Cybersicherheitsforscher entdeckt hatten, dass es Malware verbreitete, die darauf ausgelegt war, Krypto-Wallet-Informationen und Browserdaten zu stehlen. Die Malware wurde einer bekannten Cyberkriminellen-Gruppe namens EncryptHub, auch bekannt als Larva-208, zugeordnet. Das Game war über das Early Access-Programm von Steam verfügbar, das es Nutzern ermöglicht, Games zu spielen, die sich noch in der Entwicklung befinden.
Steam entfernt Chemia nach Hack
Malware in Steam-Game-Dateien eingebettet
Laut einem Bericht des Cybersicherheitsunternehmens Prodaft wurden die Chemia-Game-Dateien am 22. Juli modifiziert, um drei verschiedene Arten von Malware zu enthalten: HijackLoader, Vidar Stealer und Fickle Stealer. Diese Malware-Typen werden häufig verwendet, um sensible Informationen von Nutzern zu stehlen, einschließlich in Browsern gespeicherter Zugangsdaten, Cookies und digitaler Wallet-Schlüssel.
HijackLoader ermöglichte es Angreifern, sich im infizierten System festzusetzen, indem es still im Hintergrund operierte. Vidar Stealer und Fickle Stealer extrahierten weitere persönliche Daten, indem sie browserbasierte Speicher und Krypto-bezogene Dateien ins Visier nahmen. Da diese Tools die Performance des Games nicht wesentlich beeinträchtigten, blieben die meisten Nutzer ahnungslos über die Kompromittierung.
Steam entfernt Chemia nach Hack
Angriff zielte auf Telegram und Remote-Server ab
Die Analyse von Prodaft zeigte, dass die Malware Telegram als Command-and-Control-Kanal nutzte. Durch dieses Setup konnten Angreifer Anweisungen aus der Ferne senden und infizierte Maschinen steuern. Zusätzliche bösartige Dateien wurden über spezifische ausführbare Dateien und Skripte heruntergeladen, darunter eine Datei namens v9d9d.exe, die von Vidar Stealer verwendet wurde, und eine Kombination aus einer Dynamic-Link Library namens cclib.dll und einem PowerShell-Skript namens worker.ps1, das von Fickle Stealer verwendet wurde.
Diese Dateien zogen Code von einer externen Website, die als soft-gets[.]com identifiziert wurde. Diese Remote-Infrastruktur ermöglichte es der Malware, aktiv und anpassungsfähig zu bleiben. Sie gab den Angreifern auch die Möglichkeit, die bösartigen Komponenten jederzeit zu aktualisieren, was die Erkennungs- und Entfernungsbemühungen weiter erschwerte.
Steam entfernt Chemia nach Hack
Steam entfernt Game ohne offizielle Stellungnahme
Nach der Entdeckung entfernte Valve Chemia aus dem Steam Store. Die Store-Seite des Games existiert derzeit nicht mehr und leitet Nutzer auf die Homepage der Plattform um. Valve hat keine öffentliche Stellungnahme zur Entfernung abgegeben, und Aether Forge Studios, die Entwickler von Chemia, haben keine Kommentare abgegeben. Beide Parteien wurden von Medien, einschließlich BleepingComputer, kontaktiert, haben aber nicht auf Anfragen nach Informationen reagiert.
Das Game wurde über das Early Access-Programm von Steam vertrieben, das zuvor wegen weniger strenger Sicherheits- und Inhaltsprüfungen kritisiert wurde. Da sich Games in diesem Bereich noch in der Entwicklung befinden, können sie anfälliger für unautorisierte Code-Änderungen oder unzureichende Überprüfungsprozesse sein.
Steam’s Early Access-Programm
Andere Early Access-Titel ebenfalls mit Malware gefunden
Dieser Vorfall ist kein Einzelfall. Anfang des Jahres wurden zwei weitere Early Access-Games auf Steam (Sniper: Phantom's Resolution und PirateFi) entdeckt, die schädliche Software enthielten. Während PirateFi als web3-basiertes Game mit integrierter Krypto-Funktionalität beschrieben wurde, waren Chemia und Sniper: Phantom's Resolution Standard-PC-Games ohne Blockchain-Elemente. Alle drei Titel waren als Early Access-Releases verfügbar, was Bedenken aufwirft, ob das aktuelle Steam-System ausreichende Schutzmaßnahmen bietet, um die Verbreitung von Malware durch unbestätigte oder sich in Entwicklung befindliche Titel zu verhindern.
Sniper: Phantom's Resolution
Wer ist EncryptHub?
EncryptHub, die Gruppe, die mit dem Chemia-Vorfall in Verbindung gebracht wird, hat zuvor groß angelegte Phishing-Kampagnen mit ähnlichen Malware-Kombinationen gestartet. In einem dokumentierten Fall betrafen ihre Bemühungen über 600 Organisationen weltweit. Laut Prodaft ist die jüngste Nutzung von Steam als Distributionsplattform eine Weiterentwicklung ihrer früheren Techniken, die sich darauf konzentriert, das Vertrauen der Nutzer in seriöse Dienste auszunutzen.
Der Prodaft-Bericht stellte fest, dass die ausführbare Game-Datei für Nutzer, die sie direkt von Steam herunterluden, legitim erschien. Dieser Ansatz umging traditionelle Phishing-Methoden und setzte stattdessen auf Social Engineering über vertrauenswürdige digitale Storefronts. Forscher betonten, dass Nutzer, die auf kostenlose Games oder öffentliche Playtests zugriffen, besonders gefährdet waren, da sie Malware herunterladen und installieren könnten, in dem Glauben, es handele sich um einen harmlosen Game-Bestandteil.
EncryptHub
Zunehmende Malware-Angriffe im Gaming-Bereich
Cybersicherheitsbedrohungen, die auf Videogames abzielen, nehmen zu. Daten von Statista zeigen, dass Malware-Infektionen in den letzten zehn Jahren um 87 % zugenommen haben. Darüber hinaus schätzt Cybersecurity Ventures, dass die globalen Kosten der Cyberkriminalität bis 2025 10,5 Billionen US-Dollar erreichen werden, mehr als das Dreifache des Wertes von 2015. Digitale Plattformen mit großen Nutzerbasen, wie Steam, werden aufgrund des hohen Vertrauens, das Nutzer in sie setzen, zu häufigen Zielen.
Nutzer, die mit digitalen Währungen oder Web3-Diensten zu tun haben, sind in solchen Fällen besonders anfällig. Wenn ein Game stillschweigend Wallet-Schlüssel oder Login-Zugangsdaten extrahiert, können die finanziellen Auswirkungen unmittelbar und schwerwiegend sein. Der Fall Chemia unterstreicht die Notwendigkeit stärkerer Verifizierungsprozesse auf Plattformen, die sowohl Gaming- als auch technikaffine Zielgruppen bedienen.
Hacks in Web3-Daten von DappRadar
Empfehlungen und aktueller Status
Derzeit ist Chemia nicht mehr auf Steam zum Download verfügbar. Cybersicherheitsexperten warnen jedoch, dass Nutzer, die das Game vor seiner Entfernung installiert haben, immer noch infizierte Systeme haben könnten. Es wird empfohlen, dass diese Nutzer ihre Computer mit aktualisierten Antiviren-Tools scannen und ihre Krypto-Wallets und persönlichen Konten auf ungewöhnliche Aktivitäten überwachen.
Es bleibt unklar, wie EncryptHub Zugang zu den Game-Dateien erhielt. Eine Möglichkeit, die untersucht wird, ist Insider-Hilfe, obwohl dies nicht bestätigt wurde. Aether Forge Studios hat keine Updates oder Antworten über offizielle Kanäle oder soziale Medien veröffentlicht.
Vollständige technische Indikatoren zur Malware, einschließlich Dateinamen, Domains und Dateiverhalten, wurden von Prodaft auf seiner offiziellen GitHub-Seite veröffentlicht. Nutzer und Systemadministratoren, die möglicherweise mit dem Game in Berührung gekommen sind, werden ermutigt, diese Ressource für detaillierte Analysen und Erkennungsunterstützung zu konsultieren.
