Game survival crafting Chemia telah dihapus dari platform Steam setelah peneliti keamanan siber menemukan bahwa game tersebut mendistribusikan malware yang dirancang untuk mencuri informasi dompet kripto dan data peramban. Malware tersebut dikaitkan dengan grup kriminal siber yang dikenal sebagai EncryptHub, yang juga disebut sebagai Larva-208. Game tersebut tersedia di Steam melalui program Early Access, yang memungkinkan pengguna memainkan game yang masih dalam pengembangan.
Steam Menghapus Chemia Setelah Peretasan
Malware Tertanam dalam File Game Steam
Menurut laporan yang diterbitkan oleh firma keamanan siber Prodaft, file game Chemia dimodifikasi pada 22 Juli untuk menyertakan tiga jenis malware yang berbeda: HijackLoader, Vidar Stealer, dan Fickle Stealer. Jenis malware ini umumnya digunakan untuk mencuri informasi sensitif dari pengguna, termasuk kredensial yang tersimpan di peramban, cookie, dan kunci dompet digital.
HijackLoader memungkinkan penyerang mendapatkan pijakan di sistem yang terinfeksi dengan beroperasi secara diam-diam di latar belakang. Vidar Stealer dan Fickle Stealer selanjutnya mengekstrak data pribadi dengan menargetkan penyimpanan berbasis peramban dan file terkait kripto. Karena alat-alat ini tidak secara signifikan memengaruhi kinerja game, sebagian besar pengguna tidak menyadari adanya kompromi.
Steam Menghapus Chemia Setelah Peretasan
Serangan Menargetkan Telegram dan Server Jarak Jauh
Analisis Prodaft menunjukkan bahwa malware menggunakan Telegram sebagai saluran komando dan kontrol. Melalui pengaturan ini, penyerang dapat mengirim instruksi dari jarak jauh dan mengendalikan mesin yang terinfeksi. File berbahaya tambahan diunduh melalui executable dan skrip tertentu, termasuk file bernama v9d9d.exe yang digunakan oleh Vidar Stealer dan kombinasi dynamic-link library bernama cclib.dll dan skrip PowerShell bernama worker.ps1, yang digunakan oleh Fickle Stealer.
File-file ini mengambil kode dari situs web eksternal yang diidentifikasi sebagai soft-gets[.]com. Infrastruktur jarak jauh ini memungkinkan malware tetap aktif dan adaptif. Ini juga memberi penyerang kemampuan untuk memperbarui komponen berbahaya kapan saja, yang semakin mempersulit upaya deteksi dan penghapusan.
Steam Menghapus Chemia Setelah Peretasan
Steam Menghapus Game Tanpa Pernyataan Resmi
Setelah penemuan tersebut, Valve menghapus Chemia dari toko Steam. Saat ini, halaman toko game tersebut tidak ada lagi dan mengarahkan pengguna ke beranda platform. Valve belum merilis pernyataan publik mengenai penghapusan tersebut, dan tidak ada komentar yang dikeluarkan oleh Aether Forge Studios, pengembang Chemia. Kedua belah pihak dihubungi oleh media, termasuk BleepingComputer, tetapi belum menanggapi permintaan informasi.
Game tersebut didistribusikan melalui program Early Access Steam, yang sebelumnya menghadapi kritik karena pemeriksaan keamanan dan konten yang kurang ketat. Karena game di bagian ini masih dalam pengembangan, mereka mungkin lebih rentan terhadap perubahan kode yang tidak sah atau proses peninjauan yang tidak memadai.
Program Early Access Steam
Judul Early Access Lainnya Juga Ditemukan Mengandung Malware
Insiden ini tidak terisolasi. Awal tahun ini, dua game Early Access lainnya di Steam (Sniper: Phantom's Resolution dan PirateFi) ditemukan mengandung perangkat lunak berbahaya. Sementara PirateFi digambarkan sebagai game berbasis web3 dengan fungsionalitas kripto bawaan, Chemia dan Sniper: Phantom's Resolution adalah game PC standar tanpa elemen blockchain. Ketiga judul tersebut tersedia sebagai rilis Early Access, menimbulkan kekhawatiran tentang apakah sistem Steam saat ini memberikan perlindungan yang memadai untuk mencegah distribusi malware melalui judul yang belum diverifikasi atau yang sedang dikembangkan.
Sniper: Phantom's Resolution
Siapa EncryptHub?
EncryptHub, grup yang terkait dengan insiden Chemia, sebelumnya telah meluncurkan kampanye phishing skala besar menggunakan kombinasi malware serupa. Dalam satu kasus yang terdokumentasi, upaya mereka memengaruhi lebih dari 600 organisasi secara global. Menurut Prodaft, penggunaan Steam baru-baru ini oleh grup sebagai platform distribusi adalah evolusi dari teknik mereka sebelumnya, yang berfokus pada eksploitasi kepercayaan pengguna pada layanan terkemuka.
Laporan Prodaft mencatat bahwa executable game tampak sah bagi pengguna yang mengunduhnya langsung dari Steam. Pendekatan ini melewati metode phishing tradisional dan malah mengandalkan rekayasa sosial melalui toko digital tepercaya. Peneliti menekankan bahwa pengguna yang mengakses game gratis atau playtest publik sangat berisiko, karena mereka mungkin mengunduh dan menginstal malware dengan keyakinan bahwa itu adalah bagian dari game yang tidak berbahaya.
EncryptHub
Peningkatan Serangan Malware dalam Gaming
Ancaman keamanan siber yang menargetkan video game semakin meningkat. Data dari Statista menunjukkan bahwa infeksi malware telah meningkat sebesar 87% selama dekade terakhir. Selain itu, Cybersecurity Ventures memperkirakan bahwa biaya kejahatan siber global akan mencapai $10,5 triliun pada tahun 2025, lebih dari tiga kali lipat dari angka tahun 2015. Platform digital dengan basis pengguna yang besar, seperti Steam, menjadi target yang sering karena tingkat kepercayaan pengguna yang tinggi terhadap mereka.
Pengguna yang terlibat dengan mata uang digital atau layanan web3 sangat rentan dalam kasus seperti ini. Ketika sebuah game diam-diam mengekstrak kunci dompet atau kredensial login, dampak finansialnya bisa langsung dan parah. Kasus Chemia menggarisbawahi perlunya proses verifikasi yang lebih kuat di platform yang melayani audiens gaming dan melek teknologi.
Peretasan dalam Data Web3 dari DappRadar
Rekomendasi dan Status Saat Ini
Saat ini, Chemia tidak lagi tersedia untuk diunduh di Steam. Namun, pakar keamanan siber memperingatkan bahwa pengguna yang menginstal game tersebut sebelum dihapus masih bisa memiliki sistem yang terinfeksi. Disarankan agar pengguna ini memindai komputer mereka menggunakan alat antivirus yang diperbarui dan memantau dompet kripto serta akun pribadi mereka untuk aktivitas yang tidak biasa.
Masih belum jelas bagaimana EncryptHub mendapatkan akses ke file game. Salah satu kemungkinan yang sedang diselidiki adalah bantuan dari orang dalam, meskipun ini belum dikonfirmasi. Aether Forge Studios belum merilis pembaruan atau tanggapan apa pun melalui saluran resmi atau media sosial.
Indikator teknis lengkap terkait malware, termasuk nama file, domain, dan perilaku file, telah dipublikasikan oleh Prodaft di halaman GitHub resminya. Pengguna dan administrator sistem yang mungkin pernah menemui game ini didorong untuk berkonsultasi dengan sumber daya ini untuk analisis terperinci dan dukungan deteksi.
