サバイバルクラフトゲームのChemiaが、サイバーセキュリティ研究者によって、暗号資産(クリプト)ウォレット情報とブラウザデータを盗むように設計されたマルウェアを配布していることが判明した後、Steamプラットフォームから削除されました。このマルウェアは、EncryptHub(別名Larva-208)と呼ばれる既知のサイバー犯罪グループに関連付けられています。このゲームは、開発中のゲームをプレイできるSteamのアーリーアクセスプログラムを通じて提供されていました。
Steam Removes Chemia After Hack
Steamゲームファイルに埋め込まれたマルウェア
サイバーセキュリティ企業Prodaftが発表したレポートによると、Chemiaのゲームファイルは7月22日に改ざんされ、HijackLoader、Vidar Stealer、Fickle Stealerという3種類のマルウェアが含まれるようになりました。これらの種類のマルウェアは、ブラウザに保存された認証情報、クッキー、デジタルウォレットのキーなど、ユーザーから機密情報を盗むためによく使用されます。
HijackLoaderは、バックグラウンドで静かに動作することで、攻撃者が感染したシステムに足場を築くことを可能にしました。Vidar StealerとFickle Stealerは、ブラウザベースのストレージと暗号資産関連ファイルを標的にすることで、個人データをさらに抽出しました。これらのツールはゲームのパフォーマンスに大きな影響を与えなかったため、ほとんどのユーザーは侵害に気づきませんでした。
Steam Removes Chemia After Hack
攻撃はTelegramとリモートサーバーを標的に
Prodaftの分析によると、マルウェアはコマンドアンドコントロールチャネルとしてTelegramを使用しました。この設定を通じて、攻撃者はリモートで指示を送信し、感染したマシンを制御することができました。追加の悪意のあるファイルは、Vidar Stealerで使用されるv9d9d.exeというファイルや、Fickle Stealerで使用されるcclib.dllというダイナミックリンクライブラリとworker.ps1というPowerShellスクリプトの組み合わせなど、特定の実行可能ファイルとスクリプトを通じてダウンロードされました。
これらのファイルは、soft-gets[.]comとして識別される外部ウェブサイトからコードを取得しました。このリモートインフラストラクチャにより、マルウェアはアクティブで適応可能な状態を維持することができました。また、攻撃者はいつでも悪意のあるコンポーネントを更新できるため、検出と削除の取り組みがさらに複雑になりました。
Steam Removes Chemia After Hack
Steamは公式声明なしにゲームを削除
発見後、ValveはSteamストアからChemiaを削除しました。現在のところ、ゲームのストアページは存在せず、ユーザーはプラットフォームのホームページにリダイレクトされます。Valveは削除に関する公式声明を発表しておらず、Chemiaの開発者であるAether Forge Studiosからもコメントは発表されていません。BleepingComputerを含むメディアは両当事者に連絡を取りましたが、情報提供の要請には応じていません。
このゲームはSteamのアーリーアクセスプログラムを通じて配布されました。このプログラムは、以前から安全性とコンテンツのチェックが厳格でないと批判されていました。このセクションのゲームはまだ開発中であるため、不正なコード変更や不十分なレビュープロセスに対して脆弱である可能性があります。
Steam’s Early Access Program
マルウェアが発見された他のアーリーアクセスタイトル
この事件は孤立したものではありません。今年の初めには、Steamの他の2つのアーリーアクセスゲーム(Sniper: Phantom's ResolutionとPirateFi)に有害なソフトウェアが含まれていることが判明しました。PirateFiは暗号資産機能を内蔵したweb3ベースのゲームとして説明されましたが、ChemiaとSniper: Phantom's Resolutionはブロックチェーン要素のない標準的なPCゲームでした。3つのタイトルはすべてアーリーアクセスリリースとして提供されており、Steamの現在のシステムが、未検証または開発中のタイトルを通じてマルウェアの配布を防ぐのに十分な保護を提供しているかどうかについて懸念が高まっています。
Sniper: Phantom's Resolution
EncryptHubとは?
Chemiaの事件に関連するグループであるEncryptHubは、以前にも同様のマルウェアの組み合わせを使用して大規模なフィッシングキャンペーンを開始しています。ある記録されたケースでは、彼らの活動は世界中の600以上の組織に影響を与えました。Prodaftによると、グループが最近Steamを配布プラットフォームとして使用していることは、以前の手法が進化したものであり、ユーザーが評判の良いサービスに寄せる信頼を悪用することに焦点を当てています。
Prodaftのレポートでは、ゲームの実行可能ファイルは、Steamから直接ダウンロードするユーザーには正当に見えたと指摘されています。このアプローチは、従来のフィッシング手法を回避し、代わりに信頼できるデジタルストアフロントを通じたソーシャルエンジニアリングに依存していました。研究者らは、無料ゲームや公開プレイテストにアクセスするユーザーは、無害なゲームの一部であると信じてマルウェアをダウンロードしてインストールする可能性があるため、特にリスクが高いと強調しました。
EncryptHub
ゲームにおけるマルウェア攻撃の増加
ビデオゲームを標的としたサイバーセキュリティの脅威が増加しています。Statistaのデータによると、マルウェア感染は過去10年間で87%増加しています。さらに、Cybersecurity Venturesは、サイバー犯罪の世界的なコストは2025年までに10.5兆ドルに達すると推定しており、2015年の3倍以上になります。Steamのような大規模なユーザーベースを持つデジタルプラットフォームは、ユーザーがそれらに寄せる高い信頼度のため、頻繁な標的となっています。
デジタル通貨またはweb3サービスに関与しているユーザーは、このような場合に特に脆弱です。ゲームがサイレントにウォレットキーまたはログイン認証情報を抽出すると、経済的な影響は即座に深刻になる可能性があります。Chemiaのケースは、ゲームと技術に精通したオーディエンスの両方にサービスを提供するプラットフォームでのより強力な検証プロセスの必要性を強調しています。
Hacks in Web3 Data from DappRadar
推奨事項と現在のステータス
現在、ChemiaはSteamでダウンロードできなくなっています。ただし、サイバーセキュリティの専門家は、削除前にゲームをインストールしたユーザーは、システムがまだ感染している可能性があると警告しています。これらのユーザーは、最新のウイルス対策ツールを使用してコンピューターをスキャンし、暗号資産ウォレットと個人アカウントに異常なアクティビティがないか監視することをお勧めします。
EncryptHubがどのようにゲームファイルにアクセスしたかは不明なままです。調査されている可能性の1つは、内部関係者の支援ですが、これは確認されていません。Aether Forge Studiosは、公式チャネルまたはソーシャルメディアを通じて更新や応答をリリースしていません。
ファイル名、ドメイン、ファイルの動作など、マルウェアに関連する完全な技術指標は、Prodaftによって公式GitHubページで公開されています。ゲームに遭遇した可能性のあるユーザーおよびシステム管理者は、詳細な分析と検出サポートのためにこのリソースを参照することをお勧めします。
