El videojuego de supervivencia y crafteo Chemia fue retirado de la plataforma Steam después de que investigadores de ciberseguridad descubrieran que estaba distribuyendo malware diseñado para robar información de crypto wallet y datos de navegador. El malware ha sido vinculado a un grupo de ciberdelincuentes conocido como EncryptHub, también llamado Larva-208. El videojuego había estado disponible en Steam a través de su programa Early Access, que permite a los usuarios jugar partidas que aún están en desarrollo.
Steam elimina Chemia tras hackeo
Malware incrustado en los archivos del videojuego de Steam
Según un informe publicado por la firma de ciberseguridad Prodaft, los archivos del videojuego Chemia fueron modificados el 22 de julio para incluir tres tipos diferentes de malware: HijackLoader, Vidar Stealer y Fickle Stealer. Estos tipos de malware se utilizan comúnmente para robar información sensible de los usuarios, incluyendo credenciales almacenadas en navegadores, cookies y claves de digital wallet.
HijackLoader permitió a los atacantes afianzarse en el sistema infectado al operar silenciosamente en segundo plano. Vidar Stealer y Fickle Stealer extrajeron aún más datos personales al atacar el almacenamiento basado en navegador y los archivos relacionados con crypto. Debido a que estas herramientas no afectaron significativamente el rendimiento del videojuego, la mayoría de los usuarios no se dieron cuenta del compromiso.
Steam elimina Chemia tras hackeo
El ataque se dirigió a Telegram y servidores remotos
El análisis de Prodaft mostró que el malware utilizaba Telegram como canal de comando y control. A través de esta configuración, los atacantes pudieron enviar instrucciones de forma remota y controlar las máquinas infectadas. Se descargaron archivos maliciosos adicionales a través de ejecutables y scripts específicos, incluido un archivo llamado v9d9d.exe utilizado por Vidar Stealer y una combinación de una biblioteca de enlace dinámico llamada cclib.dll y un script de PowerShell llamado worker.ps1, utilizado por Fickle Stealer.
Estos archivos extrajeron código de un sitio web externo identificado como soft-gets[.]com. Esta infraestructura remota permitió que el malware permaneciera activo y adaptable. También proporcionó a los atacantes la capacidad de actualizar los componentes maliciosos en cualquier momento, lo que complicó aún más los esfuerzos de detección y eliminación.
Steam elimina Chemia tras hackeo
Steam retira el videojuego sin un comunicado oficial
Tras el descubrimiento, Valve retiró Chemia de la tienda de Steam. A partir de ahora, la página de la tienda del videojuego ya no existe y redirige a los usuarios a la página de inicio de la plataforma. Valve no ha emitido un comunicado público sobre la retirada, y Aether Forge Studios, los desarrolladores de Chemia, no han hecho comentarios. Ambos fueron contactados por medios de comunicación, incluido BleepingComputer, pero no han respondido a las solicitudes de información.
El videojuego se distribuyó a través del programa Early Access de Steam, que anteriormente ha sido criticado por controles de seguridad y contenido menos rigurosos. Debido a que los videojuegos en esta sección aún están en desarrollo, pueden ser más vulnerables a cambios de código no autorizados o a procesos de revisión insuficientes.
Programa Early Access de Steam
Otros títulos de Early Access también encontrados con malware
Este incidente no es aislado. A principios de año, se descubrió que otros dos videojuegos de Early Access en Steam (Sniper: Phantom's Resolution y PirateFi) contenían software dañino. Mientras que PirateFi fue descrito como un videojuego basado en web3 con funcionalidad crypto incorporada, Chemia y Sniper: Phantom's Resolution eran videojuegos de PC estándar sin elementos blockchain. Los tres títulos estaban disponibles como lanzamientos de Early Access, lo que plantea preocupaciones sobre si el sistema actual de Steam proporciona salvaguardas suficientes para evitar la distribución de malware a través de títulos no verificados o en desarrollo.
Sniper: Phantom's Resolution
¿Quiénes son EncryptHub?
EncryptHub, el grupo vinculado al incidente de Chemia, ha lanzado previamente campañas de phishing a gran escala utilizando combinaciones de malware similares. En un caso documentado, sus esfuerzos afectaron a más de 600 organizaciones a nivel mundial. Según Prodaft, el uso reciente de Steam por parte del grupo como plataforma de distribución es una evolución de sus técnicas anteriores, centrándose en explotar la confianza de los usuarios en servicios de buena reputación.
El informe de Prodaft señaló que el ejecutable del videojuego parecía legítimo para los usuarios que lo descargaban directamente de Steam. Este enfoque eludió los métodos de phishing tradicionales y se basó en la ingeniería social a través de tiendas digitales de confianza. Los investigadores enfatizaron que los usuarios que accedían a videojuegos gratuitos o pruebas públicas estaban particularmente en riesgo, ya que podrían descargar e instalar malware creyendo que era parte de un videojuego inofensivo.
EncryptHub
Aumento de ataques de malware en los videojuegos
Las amenazas de ciberseguridad dirigidas a los videojuegos están en aumento. Datos de Statista muestran que las infecciones por malware han aumentado un 87% en la última década. Además, Cybersecurity Ventures estima que el costo global del ciberdelito alcanzará los $10.5 billones para 2025, más del triple de la cifra de 2015. Las plataformas digitales con grandes bases de usuarios, como Steam, se están convirtiendo en objetivos frecuentes debido al alto nivel de confianza que los usuarios depositan en ellas.
Los usuarios que están involucrados con digital currencies o servicios web3 son especialmente vulnerables en tales casos. Cuando un videojuego extrae silenciosamente wallet keys o credenciales de inicio de sesión, el impacto financiero puede ser inmediato y grave. El caso Chemia subraya la necesidad de procesos de verificación más sólidos en plataformas que sirven tanto a audiencias gamer como a las conocedoras de tecnología.
Hacks en Web3 Datos de DappRadar
Recomendaciones y estado actual
Actualmente, Chemia ya no está disponible para descargar en Steam. Sin embargo, los expertos en ciberseguridad advierten que los usuarios que instalaron el videojuego antes de su eliminación aún podrían tener sistemas infectados. Se recomienda que estos usuarios escaneen sus computadoras utilizando herramientas antivirus actualizadas y monitoreen sus crypto wallets y cuentas personales en busca de cualquier actividad inusual.
Aún no está claro cómo EncryptHub obtuvo acceso a los archivos del videojuego. Una posibilidad que se está investigando es la asistencia interna, aunque esto no ha sido confirmado. Aether Forge Studios no ha publicado ninguna actualización o respuesta a través de canales oficiales o redes sociales.
Los indicadores técnicos completos relacionados con el malware, incluidos nombres de archivo, dominios y comportamientos de archivo, han sido publicados por Prodaft en su página oficial de GitHub. Se recomienda a los usuarios y administradores de sistemas que puedan haber encontrado el videojuego que consulten este recurso para un análisis detallado y soporte de detección.
