साइबर सुरक्षा शोधकर्ताओं द्वारा यह पता लगाने के बाद कि यह क्रिप्टो वॉलेट की जानकारी और ब्राउज़र डेटा चुराने के लिए डिज़ाइन किया गया मैलवेयर वितरित कर रहा था, सर्वाइवल क्राफ्टिंग गेम Chemia को Steam प्लेटफॉर्म से हटा दिया गया है। मैलवेयर को EncryptHub नामक एक ज्ञात साइबर क्रिमिनल ग्रुप से जोड़ा गया है, जिसे Larva-208 के नाम से भी जाना जाता है। यह गेम Steam पर अपने Early Access प्रोग्राम के माध्यम से उपलब्ध था, जो उपयोगकर्ताओं को उन गेम्स को खेलने की अनुमति देता है जो अभी भी डेवलपमेंट में हैं।
Steam Removes Chemia After Hack
Malware Embedded in Steam Game Files
साइबर सुरक्षा फर्म Prodaft द्वारा प्रकाशित एक रिपोर्ट के अनुसार, Chemia गेम फ़ाइलों को तीन अलग-अलग प्रकार के मैलवेयर शामिल करने के लिए 22 जुलाई को संशोधित किया गया था: HijackLoader, Vidar Stealer, और Fickle Stealer। ये मैलवेयर प्रकार आमतौर पर उपयोगकर्ताओं से संवेदनशील जानकारी चुराने के लिए उपयोग किए जाते हैं, जिसमें ब्राउज़र में संग्रहीत क्रेडेंशियल्स, कुकीज़ और डिजिटल वॉलेट कीज़ शामिल हैं।
HijackLoader ने हमलावरों को बैकग्राउंड में चुपचाप काम करके संक्रमित सिस्टम में एक foothold हासिल करने की अनुमति दी। Vidar Stealer और Fickle Stealer ने ब्राउज़र-आधारित स्टोरेज और क्रिप्टो-संबंधित फ़ाइलों को लक्षित करके व्यक्तिगत डेटा को और निकाला। क्योंकि इन टूल्स ने गेम के प्रदर्शन को महत्वपूर्ण रूप से प्रभावित नहीं किया, अधिकांश उपयोगकर्ताओं को compromise के बारे में पता नहीं चला।
Steam Removes Chemia After Hack
Attack Targeted Telegram and Remote Servers
Prodaft के विश्लेषण से पता चला कि मैलवेयर ने कमांड-एंड-कंट्रोल चैनल के रूप में Telegram का इस्तेमाल किया। इस सेटअप के माध्यम से, हमलावर संक्रमित मशीनों को दूर से निर्देश भेज सकते थे और उन्हें नियंत्रित कर सकते थे। अतिरिक्त दुर्भावनापूर्ण फ़ाइलें विशिष्ट executables और स्क्रिप्ट के माध्यम से डाउनलोड की गईं, जिसमें Vidar Stealer द्वारा उपयोग की जाने वाली v9d9d.exe नामक फ़ाइल और Fickle Stealer द्वारा उपयोग की जाने वाली डायनामिक-लिंक लाइब्रेरी cclib.dll और PowerShell स्क्रिप्ट worker.ps1 का संयोजन शामिल है।
ये फ़ाइलें soft-gets[.]com के रूप में पहचानी गई एक बाहरी वेबसाइट से कोड खींचती थीं। इस रिमोट इंफ्रास्ट्रक्चर ने मैलवेयर को सक्रिय और अनुकूलनीय बने रहने की अनुमति दी। इसने हमलावरों को किसी भी समय दुर्भावनापूर्ण घटकों को अपडेट करने की क्षमता भी प्रदान की, जिससे पता लगाने और हटाने के प्रयासों को और जटिल बना दिया गया।
Steam Removes Chemia After Hack
Steam Removes Game Without Official Statement
खोज के बाद, Valve ने Chemia को Steam स्टोर से हटा दिया। वर्तमान में, गेम का स्टोर पेज अब मौजूद नहीं है और उपयोगकर्ताओं को प्लेटफॉर्म के होमपेज पर रीडायरेक्ट करता है। Valve ने हटाने के संबंध में कोई सार्वजनिक बयान जारी नहीं किया है, और Chemia के डेवलपर्स, Aether Forge Studios की ओर से कोई टिप्पणी नहीं की गई है। BleepingComputer सहित मीडिया आउटलेट्स द्वारा दोनों पक्षों से संपर्क किया गया था, लेकिन जानकारी के अनुरोधों का जवाब नहीं दिया गया है।
गेम को Steam के Early Access प्रोग्राम के माध्यम से वितरित किया गया था, जिसे पहले कम कठोर सुरक्षा और सामग्री जांच के लिए आलोचना का सामना करना पड़ा था। चूंकि इस सेक्शन में गेम अभी भी डेवलपमेंट में हैं, वे अनधिकृत कोड परिवर्तनों या अपर्याप्त समीक्षा प्रक्रियाओं के प्रति अधिक संवेदनशील हो सकते हैं।
Steam’s Early Access Program
Other Early Access Titles Also Found with Malware
यह घटना अकेली नहीं है। इस साल की शुरुआत में, Steam पर दो अन्य Early Access गेम्स (Sniper: Phantom's Resolution और PirateFi) में हानिकारक सॉफ़्टवेयर पाए गए थे। जबकि PirateFi को बिल्ट-इन क्रिप्टो कार्यक्षमता के साथ एक web3-आधारित गेम के रूप में वर्णित किया गया था, Chemia और Sniper: Phantom's Resolution ब्लॉकचेन तत्वों के बिना मानक PC गेम्स थे। तीनों टाइटल Early Access रिलीज़ के रूप में उपलब्ध थे, जिससे यह चिंताएं बढ़ गईं कि क्या Steam का वर्तमान सिस्टम अनवेरिफाइड या डेवलपमेंट टाइटल्स के माध्यम से मैलवेयर के वितरण को रोकने के लिए पर्याप्त सुरक्षा प्रदान करता है।
Sniper: Phantom's Resolution
Who Are EncryptHub?
EncryptHub, Chemia घटना से जुड़ा समूह, ने पहले समान मैलवेयर संयोजनों का उपयोग करके बड़े पैमाने पर फ़िशिंग अभियान शुरू किए थे। एक प्रलेखित मामले में, उनके प्रयासों ने विश्व स्तर पर 600 से अधिक संगठनों को प्रभावित किया। Prodaft के अनुसार, Steam का वितरण प्लेटफॉर्म के रूप में समूह का हालिया उपयोग उनकी पिछली तकनीकों का एक विकास है, जो प्रतिष्ठित सेवाओं में उपयोगकर्ताओं के विश्वास का फायदा उठाने पर केंद्रित है।
Prodaft रिपोर्ट में कहा गया है कि गेम executable उपयोगकर्ताओं के लिए वैध दिखाई देता था जो इसे सीधे Steam से डाउनलोड करते थे। इस दृष्टिकोण ने पारंपरिक फ़िशिंग विधियों को बायपास किया और इसके बजाय विश्वसनीय डिजिटल स्टोरफ्रंट के माध्यम से सोशल इंजीनियरिंग पर भरोसा किया। शोधकर्ताओं ने इस बात पर जोर दिया कि मुफ्त गेम या सार्वजनिक प्लेटेस्ट तक पहुंचने वाले उपयोगकर्ता विशेष रूप से जोखिम में थे, क्योंकि वे मैलवेयर को एक हानिरहित गेम का हिस्सा मानकर डाउनलोड और इंस्टॉल कर सकते थे।
EncryptHub
Increasing Malware Attacks in Gaming
वीडियो गेम को लक्षित करने वाले साइबर सुरक्षा खतरे बढ़ रहे हैं। Statista के आंकड़ों से पता चलता है कि पिछले दशक में मैलवेयर संक्रमण में 87% की वृद्धि हुई है। इसके अतिरिक्त, Cybersecurity Ventures का अनुमान है कि 2025 तक साइबर अपराध की वैश्विक लागत $10.5 ट्रिलियन तक पहुंच जाएगी, जो 2015 के आंकड़े से तीन गुना से अधिक है। Steam जैसे बड़े उपयोगकर्ता आधार वाले डिजिटल प्लेटफॉर्म, उपयोगकर्ताओं द्वारा उन पर रखे गए भरोसे के उच्च स्तर के कारण लगातार लक्ष्य बन रहे हैं।
डिजिटल मुद्राओं या web3 सेवाओं से जुड़े उपयोगकर्ता ऐसे मामलों में विशेष रूप से कमजोर होते हैं। जब कोई गेम चुपचाप वॉलेट कीज़ या लॉगिन क्रेडेंशियल्स निकालता है, तो वित्तीय प्रभाव तत्काल और गंभीर हो सकता है। Chemia मामला उन प्लेटफार्मों पर मजबूत सत्यापन प्रक्रियाओं की आवश्यकता को रेखांकित करता है जो गेमिंग और टेक-सेवी दोनों दर्शकों की सेवा करते हैं।
Hacks in Web3 Data from DappRadar
Recommendations and Current Status
वर्तमान में, Chemia अब Steam पर डाउनलोड के लिए उपलब्ध नहीं है। हालांकि, साइबर सुरक्षा विशेषज्ञ चेतावनी देते हैं कि जिन उपयोगकर्ताओं ने इसे हटाने से पहले गेम इंस्टॉल किया था, उनके सिस्टम अभी भी संक्रमित हो सकते हैं। यह अनुशंसा की जाती है कि इन उपयोगकर्ताओं को अपडेटेड एंटीवायरस टूल का उपयोग करके अपने कंप्यूटर को स्कैन करना चाहिए और किसी भी असामान्य गतिविधि के लिए अपने क्रिप्टो वॉलेट और व्यक्तिगत खातों की निगरानी करनी चाहिए।
यह स्पष्ट नहीं है कि EncryptHub ने गेम फ़ाइलों तक कैसे पहुंच प्राप्त की। जांच की जा रही एक संभावना आंतरिक सहायता है, हालांकि इसकी पुष्टि नहीं हुई है। Aether Forge Studios ने आधिकारिक चैनलों या सोशल मीडिया के माध्यम से कोई अपडेट या प्रतिक्रिया जारी नहीं की है।
मैलवेयर से संबंधित पूर्ण तकनीकी संकेतक, जिसमें फ़ाइलनाम, डोमेन और फ़ाइल व्यवहार शामिल हैं, Prodaft द्वारा अपने आधिकारिक GitHub पेज पर प्रकाशित किए गए हैं। जिन उपयोगकर्ताओं और सिस्टम प्रशासकों ने गेम का सामना किया हो सकता है, उन्हें विस्तृत विश्लेषण और पहचान समर्थन के लिए इस संसाधन से परामर्श करने के लिए प्रोत्साहित किया जाता है।
