생존 크래프팅 겜 Chemia가 암호화폐 지갑 정보와 브라우저 데이터를 훔치도록 설계된 악성코드를 배포하고 있다는 사실이 사이버 보안 연구원들에 의해 발견된 후 Steam 플랫폼에서 삭제되었습니다. 이 악성코드는 Larva-208이라고도 불리는 EncryptHub이라는 알려진 사이버 범죄 그룹과 관련이 있습니다. 이 겜은 유저들이 아직 개발 중인 겜을 플레이할 수 있도록 하는 얼리 액세스 프로그램을 통해 Steam에서 이용할 수 있었습니다.
Steam, 해킹 공격으로 Chemia 상점 페이지 삭제
Steam 겜 파일에 악성코드 내장
사이버 보안 회사 Prodaft가 발표한 보고서에 따르면, Chemia 겜 파일은 7월 22일에 HijackLoader, Vidar Stealer, Fickle Stealer의 세 가지 유형의 악성코드를 포함하도록 수정되었습니다. 이러한 유형의 악성코드는 브라우저에 저장된 자격 증명, 쿠키 및 디지털 지갑 키를 포함하여 유저의 민감한 정보를 훔치는 데 일반적으로 사용됩니다.
HijackLoader는 백그라운드에서 조용히 작동하여 공격자가 감염된 시스템에 침투할 수 있도록 했습니다. Vidar Stealer와 Fickle Stealer는 브라우저 기반 저장소 및 암호화 관련 파일을 대상으로 하여 개인 데이터를 추가로 추출했습니다. 이러한 도구는 겜 성능에 큰 영향을 미치지 않았기 때문에 대부분의 유저들은 침해 사실을 알지 못했습니다.
Steam, 해킹 공격으로 Chemia 상점 페이지 삭제
Telegram 및 원격 서버를 대상으로 한 공격
Prodaft의 분석에 따르면 악성코드는 Telegram을 명령 및 제어 채널로 사용했습니다. 이 설정을 통해 공격자는 원격으로 지침을 보내고 감염된 기기를 제어할 수 있었습니다. Vidar Stealer가 사용하는 v9d9d.exe라는 파일과 Fickle Stealer가 사용하는 cclib.dll이라는 동적 링크 라이브러리와 worker.ps1이라는 PowerShell 스크립트의 조합을 포함하여 특정 실행 파일과 스크립트를 통해 추가 악성 파일이 다운로드되었습니다.
이러한 파일은 soft-gets[.]com으로 식별된 외부 웹사이트에서 코드를 가져왔습니다. 이 원격 인프라는 악성코드가 활성 상태를 유지하고 적응할 수 있도록 했습니다. 또한 공격자에게 언제든지 악성 구성 요소를 업데이트할 수 있는 기능을 제공하여 탐지 및 제거 노력을 더욱 복잡하게 만들었습니다.
Steam, 해킹 공격으로 Chemia 상점 페이지 삭제
Steam, 공식 성명 없이 겜 삭제
발견 후 Valve는 Steam 상점에서 Chemia를 삭제했습니다. 현재 겜의 상점 페이지는 더 이상 존재하지 않으며 유저를 플랫폼의 홈페이지로 리디렉션합니다. Valve는 삭제에 대한 공식 성명을 발표하지 않았으며, Chemia 개발사인 Aether Forge Studios도 어떠한 언급도 하지 않았습니다. BleepingComputer를 포함한 언론 매체에서 양측에 연락을 취했지만 정보 요청에 응답하지 않았습니다.
이 겜은 Steam의 얼리 액세스 프로그램을 통해 배포되었으며, 이 프로그램은 이전에 덜 엄격한 안전 및 콘텐츠 검사로 비판을 받아왔습니다. 이 섹션의 겜은 아직 개발 중이므로 무단 코드 변경 또는 불충분한 검토 프로세스에 더 취약할 수 있습니다.
Steam의 얼리 액세스 프로그램
악성코드가 발견된 다른 얼리 액세스 타이틀
이 사건은 고립된 사건이 아닙니다. 올해 초 Steam의 다른 두 얼리 액세스 겜(Sniper: Phantom's Resolution 및 PirateFi)에서 유해한 소프트웨어가 포함된 것으로 밝혀졌습니다. PirateFi는 내장된 암호화 기능이 있는 web3 기반 겜으로 설명되었지만, Chemia와 Sniper: Phantom's Resolution은 블록체인 요소가 없는 표준 PC 겜이었습니다. 세 가지 타이틀 모두 얼리 액세스 릴리스로 제공되었으며, Steam의 현재 시스템이 검증되지 않거나 개발 중인 타이틀을 통해 악성코드 배포를 방지하기 위한 충분한 안전 장치를 제공하는지에 대한 우려를 제기했습니다.
Sniper: Phantom's Resolution
EncryptHub은 누구인가?
Chemia 사건과 관련된 그룹인 EncryptHub은 이전에 유사한 악성코드 조합을 사용하여 대규모 피싱 캠페인을 시작했습니다. 한 문서화된 사례에서 그들의 노력은 전 세계 600개 이상의 조직에 영향을 미쳤습니다. Prodaft에 따르면 이 그룹이 Steam을 배포 플랫폼으로 최근 사용한 것은 이전 기술의 진화이며, 평판 좋은 서비스에 대한 유저의 신뢰를 악용하는 데 중점을 둡니다.
Prodaft 보고서는 겜 실행 파일이 Steam에서 직접 다운로드하는 유저에게 합법적으로 보였다고 언급했습니다. 이 접근 방식은 전통적인 피싱 방법을 우회하고 신뢰할 수 있는 디지털 상점을 통한 사회 공학에 의존했습니다. 연구원들은 무료 겜이나 공개 플레이 테스트에 접근하는 유저들이 특히 위험에 처해 있다고 강조했습니다. 왜냐하면 그들은 무해한 겜의 일부라고 믿고 악성코드를 다운로드하여 설치할 수 있기 때문입니다.
EncryptHub
겜에서 증가하는 악성코드 공격
비디오 겜을 대상으로 하는 사이버 보안 위협이 증가하고 있습니다. Statista의 데이터에 따르면 지난 10년간 악성코드 감염이 87% 증가했습니다. 또한 Cybersecurity Ventures는 사이버 범죄의 전 세계 비용이 2025년까지 10조 5천억 달러에 달할 것으로 추정하며, 이는 2015년 수치의 3배 이상입니다. Steam과 같이 유저 기반이 큰 디지털 플랫폼은 유저들이 높은 신뢰를 가지고 있기 때문에 빈번한 표적이 되고 있습니다.
디지털 통화 또는 web3 서비스와 관련된 유저들은 이러한 경우에 특히 취약합니다. 겜이 지갑 키 또는 로그인 자격 증명을 조용히 추출할 때 재정적 영향은 즉각적이고 심각할 수 있습니다. Chemia 사례는 겜과 기술에 정통한 유저 모두에게 서비스를 제공하는 플랫폼에서 더 강력한 검증 프로세스의 필요성을 강조합니다.
DappRadar의 Web3 데이터 해킹
권장 사항 및 현재 상태
현재 Chemia는 Steam에서 더 이상 다운로드할 수 없습니다. 그러나 사이버 보안 전문가들은 삭제 전에 겜을 설치한 유저들이 여전히 감염된 시스템을 가지고 있을 수 있다고 경고합니다. 이러한 유저들은 업데이트된 백신 도구를 사용하여 컴퓨터를 스캔하고 암호화폐 지갑 및 개인 계정에서 비정상적인 활동이 있는지 모니터링하는 것이 좋습니다.
EncryptHub이 겜 파일에 어떻게 접근했는지는 여전히 불분명합니다. 조사 중인 한 가지 가능성은 내부자 지원이지만, 이는 확인되지 않았습니다. Aether Forge Studios는 공식 채널이나 소셜 미디어를 통해 어떠한 업데이트나 응답도 발표하지 않았습니다.
파일 이름, 도메인 및 파일 동작을 포함한 악성코드와 관련된 전체 기술 지표는 Prodaft가 공식 GitHub 페이지에 게시했습니다. 겜을 접했을 수 있는 유저 및 시스템 관리자는 자세한 분석 및 탐지 지원을 위해 이 자료를 참조하는 것이 좋습니다.
