Il survival crafting game Chemia è stato rimosso dalla piattaforma Steam dopo che i ricercatori di cybersecurity hanno scoperto che distribuiva malware progettato per rubare informazioni sui crypto wallet e dati del browser. Il malware è stato collegato a un noto gruppo cybercriminale chiamato EncryptHub, anche noto come Larva-208. Il gioco era disponibile su Steam tramite il suo programma Early Access, che consente agli utenti di giocare a titoli ancora in fase di sviluppo.
Steam rimuove Chemia dopo l'attacco hacker
Malware Incorporato nei File di Gioco di Steam
Secondo un rapporto pubblicato dalla società di cybersecurity Prodaft, i file del gioco Chemia sono stati modificati il 22 luglio per includere tre diversi tipi di malware: HijackLoader, Vidar Stealer e Fickle Stealer. Questi tipi di malware sono comunemente usati per rubare informazioni sensibili dagli utenti, incluse credenziali memorizzate nei browser, cookie e chiavi di wallet digitali.
HijackLoader ha permesso agli attaccanti di ottenere un punto d'appoggio nel sistema infetto operando silenziosamente in background. Vidar Stealer e Fickle Stealer hanno ulteriormente estratto dati personali prendendo di mira l'archiviazione basata su browser e i file relativi alle criptovalute. Poiché questi strumenti non hanno influenzato significativamente le performance del gioco, la maggior parte degli utenti è rimasta ignara della compromissione.
Steam rimuove Chemia dopo l'attacco hacker
Attacco Mirato a Telegram e Server Remoti
L'analisi di Prodaft ha mostrato che il malware utilizzava Telegram come canale di comando e controllo. Attraverso questa configurazione, gli attaccanti sono stati in grado di inviare istruzioni da remoto e controllare le macchine infette. Ulteriori file malevoli sono stati scaricati tramite eseguibili e script specifici, incluso un file chiamato v9d9d.exe utilizzato da Vidar Stealer e una combinazione di una libreria a collegamento dinamico chiamata cclib.dll e uno script PowerShell chiamato worker.ps1, utilizzato da Fickle Stealer.
Questi file hanno prelevato codice da un sito web esterno identificato come soft-gets[.]com. Questa infrastruttura remota ha permesso al malware di rimanere attivo e adattabile. Ha anche fornito agli attaccanti la capacità di aggiornare i componenti malevoli in qualsiasi momento, complicando ulteriormente gli sforzi di rilevamento e rimozione.
Steam rimuove Chemia dopo l'attacco hacker
Steam Rimuove il Gioco Senza Dichiarazioni Ufficiali
A seguito della scoperta, Valve ha rimosso Chemia dal negozio Steam. Attualmente, la pagina del negozio del gioco non esiste più e reindirizza gli utenti alla homepage della piattaforma. Valve non ha rilasciato una dichiarazione pubblica riguardo la rimozione, e nessun commento è stato emesso da Aether Forge Studios, gli sviluppatori di Chemia. Entrambe le parti sono state contattate dai media, incluso BleepingComputer, ma non hanno risposto alle richieste di informazioni.
Il gioco è stato distribuito tramite il programma Early Access di Steam, che in precedenza ha affrontato critiche per controlli di sicurezza e contenuti meno rigorosi. Poiché i giochi in questa sezione sono ancora in fase di sviluppo, potrebbero essere più vulnerabili a modifiche non autorizzate del codice o a processi di revisione insufficienti.
Il programma Early Access di Steam
Altri Titoli Early Access Trovati con Malware
Questo incidente non è isolato. All'inizio dell'anno, altri due giochi Early Access su Steam (Sniper: Phantom's Resolution e PirateFi) sono stati scoperti contenere software dannoso. Mentre PirateFi è stato descritto come un gioco basato su web3 con funzionalità crypto integrate, Chemia e Sniper: Phantom's Resolution erano giochi PC standard senza elementi blockchain. Tutti e tre i titoli erano disponibili come versioni Early Access, sollevando preoccupazioni sul fatto che l'attuale sistema di Steam fornisca sufficienti garanzie per prevenire la distribuzione di malware tramite titoli non verificati o in sviluppo.
Sniper: Phantom's Resolution
Chi Sono gli EncryptHub?
EncryptHub, il gruppo legato all'incidente di Chemia, ha precedentemente lanciato campagne di phishing su larga scala utilizzando combinazioni di malware simili. In un caso documentato, i loro sforzi hanno colpito oltre 600 organizzazioni a livello globale. Secondo Prodaft, il recente utilizzo di Steam da parte del gruppo come piattaforma di distribuzione è un'evoluzione delle loro tecniche precedenti, concentrandosi sullo sfruttamento della fiducia degli utenti nei servizi affidabili.
Il rapporto di Prodaft ha notato che l'eseguibile del gioco appariva legittimo agli utenti che lo scaricavano direttamente da Steam. Questo approccio ha aggirato i metodi di phishing tradizionali e si è basato invece sull'ingegneria sociale attraverso vetrine digitali fidate. I ricercatori hanno sottolineato che gli utenti che accedevano a giochi gratuiti o a playtest pubblici erano particolarmente a rischio, poiché avrebbero potuto scaricare e installare malware credendo che facesse parte di un gioco innocuo.
EncryptHub
Aumento degli Attacchi Malware nel Gaming
Le minacce di cybersecurity che prendono di mira i videogiochi sono in aumento. I dati di Statista mostrano che le infezioni da malware sono aumentate dell'87% nell'ultimo decennio. Inoltre, Cybersecurity Ventures stima che il costo globale della criminalità informatica raggiungerà i 10,5 trilioni di dollari entro il 2025, più del triplo della cifra del 2015. Le piattaforme digitali con ampie basi di utenti, come Steam, stanno diventando bersagli frequenti a causa dell'alto livello di fiducia che gli utenti ripongono in esse.
Gli utenti che sono coinvolti in valute digitali o servizi web3 sono particolarmente vulnerabili in questi casi. Quando un gioco estrae silenziosamente chiavi di wallet o credenziali di accesso, l'impatto finanziario può essere immediato e grave. Il caso Chemia sottolinea la necessità di processi di verifica più rigorosi su piattaforme che servono sia il pubblico gaming che quello esperto di tecnologia.
Hacks in Web3 Dati da DappRadar
Raccomandazioni e Stato Attuale
Attualmente, Chemia non è più disponibile per il download su Steam. Tuttavia, gli esperti di cybersecurity avvertono che gli utenti che hanno installato il gioco prima della sua rimozione potrebbero avere ancora sistemi infetti. Si raccomanda a questi utenti di scansionare i propri computer utilizzando strumenti antivirus aggiornati e di monitorare i propri crypto wallet e account personali per qualsiasi attività insolita.
Non è ancora chiaro come EncryptHub abbia ottenuto l'accesso ai file del gioco. Una possibilità sotto indagine è l'assistenza interna, sebbene ciò non sia stato confermato. Aether Forge Studios non ha rilasciato alcun aggiornamento o risposta tramite canali ufficiali o social media.
Indicatori tecnici completi relativi al malware, inclusi nomi di file, domini e comportamenti dei file, sono stati pubblicati da Prodaft sulla sua pagina GitHub ufficiale. Gli utenti e gli amministratori di sistema che potrebbero aver incontrato il gioco sono incoraggiati a consultare questa risorsa per un'analisi dettagliata e un supporto al rilevamento.
