Het survival-crafting spel Chemia is van het Steam-platform verwijderd nadat cybersecurity-onderzoekers ontdekten dat het malware verspreidde die ontworpen was om crypto-wallet-informatie en browsergegevens te stelen. De malware is in verband gebracht met een bekende cybercriminele groep genaamd EncryptHub, ook wel bekend als Larva-208. Het spel was via het Early Access-programma van Steam beschikbaar, waarmee gebruikers spellen kunnen spelen die nog in ontwikkeling zijn.
Steam verwijdert Chemia na hack
Malware ingebed in Steam gamebestanden
Volgens een rapport van cybersecuritybedrijf Prodaft werden de gamebestanden van Chemia op 22 juli gewijzigd om drie verschillende soorten malware toe te voegen: HijackLoader, Vidar Stealer en Fickle Stealer. Dit soort malware wordt vaak gebruikt om gevoelige informatie van gebruikers te stelen, waaronder in browsers opgeslagen inloggegevens, cookies en digitale wallet-sleutels.
HijackLoader stelde aanvallers in staat om een voet aan de grond te krijgen in het geïnfecteerde systeem door stilzwijgend op de achtergrond te opereren. Vidar Stealer en Fickle Stealer extraheerden verdere persoonlijke gegevens door browsergebaseerde opslag en crypto-gerelateerde bestanden te targeten. Omdat deze tools de prestaties van het spel niet significant beïnvloedden, bleven de meeste gebruikers zich niet bewust van de compromis.
Steam verwijdert Chemia na hack
Aanval gericht op Telegram en externe servers
De analyse van Prodaft toonde aan dat de malware Telegram gebruikte als command-and-control kanaal. Via deze opzet konden aanvallers op afstand instructies sturen en geïnfecteerde machines besturen. Extra kwaadaardige bestanden werden gedownload via specifieke uitvoerbare bestanden en scripts, waaronder een bestand genaamd v9d9d.exe gebruikt door Vidar Stealer en een combinatie van een dynamisch-linkbibliotheek genaamd cclib.dll en een PowerShell-script genaamd worker.ps1, gebruikt door Fickle Stealer.
Deze bestanden haalden code op van een externe website geïdentificeerd als soft-gets[.]com. Deze externe infrastructuur zorgde ervoor dat de malware actief en adaptief bleef. Het gaf aanvallers ook de mogelijkheid om de kwaadaardige componenten op elk moment bij te werken, wat detectie- en verwijderingsinspanningen verder bemoeilijkte.
Steam verwijdert Chemia na hack
Steam verwijdert spel zonder officiële verklaring
Na de ontdekking verwijderde Valve Chemia uit de Steam winkel. Momenteel bestaat de winkelpagina van het spel niet meer en worden gebruikers doorgestuurd naar de homepage van het platform. Valve heeft geen publieke verklaring afgelegd over de verwijdering, en er zijn geen commentaren uitgegeven door Aether Forge Studios, de ontwikkelaars van Chemia. Beide partijen werden benaderd door media, waaronder BleepingComputer, maar hebben niet gereageerd op verzoeken om informatie.
Het spel werd gedistribueerd via het Early Access-programma van Steam, dat eerder kritiek kreeg vanwege minder strenge veiligheids- en inhoudscontroles. Omdat spellen in dit gedeelte nog in ontwikkeling zijn, kunnen ze kwetsbaarder zijn voor ongeautoriseerde codewijzigingen of onvoldoende beoordelingsprocessen.
Steam’s Early Access Programma
Andere Early Access-titels ook gevonden met malware
Dit incident is niet op zichzelf staand. Eerder dit jaar werden twee andere Early Access-spellen op Steam (Sniper: Phantom's Resolution en PirateFi) ontdekt met schadelijke software. Terwijl PirateFi werd beschreven als een web3-gebaseerd spel met ingebouwde crypto-functionaliteit, waren Chemia en Sniper: Phantom's Resolution standaard pc-spellen zonder blockchain-elementen. Alle drie de titels waren beschikbaar als Early Access-releases, wat zorgen oproept over de vraag of het huidige systeem van Steam voldoende waarborgen biedt om de verspreiding van malware via niet-geverifieerde of in ontwikkeling zijnde titels te voorkomen.
Sniper: Phantom's Resolution
Wie zijn EncryptHub?
EncryptHub, de groep die betrokken is bij het Chemia-incident, heeft eerder grootschalige phishingcampagnes gelanceerd met vergelijkbare malwarecombinaties. In één gedocumenteerd geval troffen hun inspanningen meer dan 600 organisaties wereldwijd. Volgens Prodaft is het recente gebruik van Steam als distributieplatform door de groep een evolutie van hun eerdere technieken, gericht op het uitbuiten van het vertrouwen van gebruikers in gerenommeerde diensten.
Het rapport van Prodaft merkte op dat het uitvoerbare bestand van het spel legitiem leek voor gebruikers die het rechtstreeks van Steam downloadden. Deze aanpak omzeilde traditionele phishingmethoden en vertrouwde in plaats daarvan op social engineering via vertrouwde digitale winkels. Onderzoekers benadrukten dat gebruikers die gratis spellen of publieke playtests gebruikten, bijzonder kwetsbaar waren, omdat ze malware konden downloaden en installeren in de veronderstelling dat het deel uitmaakte van een onschadelijk spel.
EncryptHub
Toenemende malware-aanvallen in gaming
Cybersecuritybedreigingen gericht op videogames nemen toe. Gegevens van Statista tonen aan dat malware-infecties de afgelopen tien jaar met 87% zijn toegenomen. Bovendien schat Cybersecurity Ventures dat de wereldwijde kosten van cybercriminaliteit tegen 2025 10,5 biljoen dollar zullen bedragen, meer dan een verdrievoudiging van het cijfer van 2015. Digitale platforms met grote gebruikersbestanden, zoals Steam, worden steeds vaker het doelwit vanwege het hoge niveau van vertrouwen dat gebruikers erin stellen.
Gebruikers die betrokken zijn bij digitale valuta of web3-diensten zijn in dergelijke gevallen bijzonder kwetsbaar. Wanneer een spel heimelijk wallet-sleutels of inloggegevens extraheert, kunnen de financiële gevolgen onmiddellijk en ernstig zijn. De Chemia-zaak onderstreept de behoefte aan sterkere verificatieprocessen op platforms die zowel gaming als technisch onderlegde doelgroepen bedienen.
Hacks in Web3 Data van DappRadar
Aanbevelingen en huidige status
Op dit moment is Chemia niet langer beschikbaar voor download op Steam. Cybersecurity-experts waarschuwen echter dat gebruikers die het spel hebben geïnstalleerd voordat het werd verwijderd, nog steeds geïnfecteerde systemen kunnen hebben. Het wordt aanbevolen dat deze gebruikers hun computers scannen met up-to-date antivirusprogramma's en hun crypto-wallets en persoonlijke accounts controleren op ongebruikelijke activiteiten.
Het blijft onduidelijk hoe EncryptHub toegang heeft gekregen tot de gamebestanden. Een mogelijkheid die wordt onderzocht, is hulp van binnenuit, hoewel dit niet is bevestigd. Aether Forge Studios heeft geen updates of reacties uitgebracht via officiële kanalen of sociale media.
Volledige technische indicatoren met betrekking tot de malware, waaronder bestandsnamen, domeinen en bestandsgedrag, zijn door Prodaft gepubliceerd op hun officiële GitHub-pagina. Gebruikers en systeembeheerders die het spel mogelijk zijn tegengekomen, worden aangemoedigd om deze bron te raadplegen voor gedetailleerde analyse en detectieondersteuning.
