Le jeu de survie et de crafting Chemia a été retiré de la plateforme Steam après que des chercheurs en cybersécurité ont découvert qu'il distribuait un logiciel malveillant conçu pour voler des informations de portefeuille crypto et des données de navigateur. Le malware a été lié à un groupe cybercriminel connu sous le nom d'EncryptHub, également appelé Larva-208. Le jeu était disponible sur Steam via son programme Early Access, qui permet aux utilisateurs de jouer à des jeux encore en développement.
Steam retire Chemia après un piratage
Logiciel malveillant intégré dans les fichiers de jeu Steam
Selon un rapport publié par la société de cybersécurité Prodaft, les fichiers du jeu Chemia ont été modifiés le 22 juillet pour inclure trois types de logiciels malveillants différents : HijackLoader, Vidar Stealer et Fickle Stealer. Ces types de malwares sont couramment utilisés pour voler des informations sensibles aux utilisateurs, y compris les identifiants stockés dans les navigateurs, les cookies et les clés de portefeuille numérique.
HijackLoader a permis aux attaquants de s'implanter dans le système infecté en opérant silencieusement en arrière-plan. Vidar Stealer et Fickle Stealer ont ensuite extrait des données personnelles en ciblant le stockage basé sur le navigateur et les fichiers liés à la crypto. Comme ces outils n'ont pas affecté de manière significative les performances du jeu, la plupart des utilisateurs n'ont pas eu connaissance de la compromission.
Steam retire Chemia après un piratage
L'attaque a ciblé Telegram et des serveurs distants
L'analyse de Prodaft a montré que le logiciel malveillant utilisait Telegram comme canal de commande et de contrôle. Grâce à cette configuration, les attaquants ont pu envoyer des instructions à distance et contrôler les machines infectées. Des fichiers malveillants supplémentaires ont été téléchargés via des exécutables et des scripts spécifiques, y compris un fichier nommé v9d9d.exe utilisé par Vidar Stealer et une combinaison d'une bibliothèque de liens dynamiques nommée cclib.dll et d'un script PowerShell appelé worker.ps1, utilisé par Fickle Stealer.
Ces fichiers ont extrait du code d'un site web externe identifié comme soft-gets[.]com. Cette infrastructure distante a permis au logiciel malveillant de rester actif et adaptable. Elle a également fourni aux attaquants la possibilité de mettre à jour les composants malveillants à tout moment, compliquant davantage les efforts de détection et de suppression.
Steam retire Chemia après un piratage
Steam retire le jeu sans déclaration officielle
Suite à cette découverte, Valve a retiré Chemia du magasin Steam. Actuellement, la page du jeu n'existe plus et redirige les utilisateurs vers la page d'accueil de la plateforme. Valve n'a pas publié de déclaration publique concernant ce retrait, et aucun commentaire n'a été émis par Aether Forge Studios, les développeurs de Chemia. Les deux parties ont été contactées par des médias, y compris BleepingComputer, mais n'ont pas répondu aux demandes d'informations.
Le jeu était distribué via le programme Early Access de Steam, qui a déjà été critiqué pour des contrôles de sécurité et de contenu moins rigoureux. Étant donné que les jeux de cette section sont encore en développement, ils peuvent être plus vulnérables aux modifications de code non autorisées ou à des processus de révision insuffisants.
Le programme Early Access de Steam
D'autres titres Early Access également trouvés avec des malwares
Cet incident n'est pas isolé. Plus tôt cette année, deux autres jeux Early Access sur Steam (Sniper: Phantom's Resolution et PirateFi) ont été découverts contenir des logiciels malveillants. Alors que PirateFi était décrit comme un jeu basé sur le web3 avec des fonctionnalités crypto intégrées, Chemia et Sniper: Phantom's Resolution étaient des jeux PC standards sans éléments blockchain. Les trois titres étaient disponibles en version Early Access, soulevant des inquiétudes quant à savoir si le système actuel de Steam offre des garanties suffisantes pour empêcher la distribution de malwares via des titres non vérifiés ou en développement.
Sniper: Phantom's Resolution
Qui est EncryptHub ?
EncryptHub, le groupe lié à l'incident Chemia, a déjà lancé des campagnes de phishing à grande échelle utilisant des combinaisons de malwares similaires. Dans un cas documenté, leurs efforts ont affecté plus de 600 organisations dans le monde. Selon Prodaft, l'utilisation récente de Steam par le groupe comme plateforme de distribution est une évolution de leurs techniques antérieures, se concentrant sur l'exploitation de la confiance des utilisateurs dans les services réputés.
Le rapport de Prodaft a noté que l'exécutable du jeu semblait légitime pour les utilisateurs le téléchargeant directement depuis Steam. Cette approche a contourné les méthodes de phishing traditionnelles et s'est appuyée sur l'ingénierie sociale via des vitrines numériques de confiance. Les chercheurs ont souligné que les utilisateurs accédant à des jeux gratuits ou à des tests de jeu publics étaient particulièrement à risque, car ils pourraient télécharger et installer des malwares en pensant qu'il s'agissait d'un jeu inoffensif.
EncryptHub
Augmentation des attaques de malwares dans le gaming
Les menaces de cybersécurité ciblant les jeux vidéo sont en augmentation. Les données de Statista montrent que les infections par des malwares ont augmenté de 87 % au cours de la dernière décennie. De plus, Cybersecurity Ventures estime que le coût mondial de la cybercriminalité atteindra 10,5 billions de dollars d'ici 2025, soit plus du triple du chiffre de 2015. Les plateformes numériques avec de grandes bases d'utilisateurs, telles que Steam, deviennent des cibles fréquentes en raison du niveau élevé de confiance que les utilisateurs leur accordent.
Les utilisateurs impliqués dans les monnaies numériques ou les services web3 sont particulièrement vulnérables dans de tels cas. Lorsqu'un jeu extrait silencieusement des clés de portefeuille ou des identifiants de connexion, l'impact financier peut être immédiat et grave. Le cas Chemia souligne la nécessité de processus de vérification plus stricts sur les plateformes qui servent à la fois les publics gaming et technophiles.
Données sur les piratages Web3 de DappRadar
Recommandations et statut actuel
Actuellement, Chemia n'est plus disponible au téléchargement sur Steam. Cependant, les experts en cybersécurité avertissent que les utilisateurs qui ont installé le jeu avant son retrait pourraient toujours avoir des systèmes infectés. Il est recommandé à ces utilisateurs de scanner leurs ordinateurs à l'aide d'outils antivirus mis à jour et de surveiller leurs portefeuilles crypto et leurs comptes personnels pour toute activité inhabituelle.
Il n'est pas encore clair comment EncryptHub a eu accès aux fichiers du jeu. Une possibilité étudiée est une aide interne, bien que cela n'ait pas été confirmé. Aether Forge Studios n'a publié aucune mise à jour ou réponse via les canaux officiels ou les réseaux sociaux.
Les indicateurs techniques complets liés au logiciel malveillant, y compris les noms de fichiers, les domaines et les comportements de fichiers, ont été publiés par Prodaft sur sa page GitHub officielle. Les utilisateurs et les administrateurs système qui ont pu rencontrer le jeu sont encouragés à consulter cette ressource pour une analyse détaillée et un support de détection.
