O game de sobrevivência e crafting Chemia foi removido da Steam depois que pesquisadores de cibersegurança descobriram que ele estava distribuindo malware projetado para roubar informações de crypto wallet e dados de navegador. O malware foi ligado a um grupo cibercriminoso conhecido como EncryptHub, também referido como Larva-208. O game estava disponível na Steam através do seu programa Early Access, que permite aos usuários jogar games que ainda estão em desenvolvimento.
Steam remove Chemia após hack
Malware Incorporado nos Arquivos do Jogo da Steam
De acordo com um relatório publicado pela empresa de cibersegurança Prodaft, os arquivos do game Chemia foram modificados em 22 de julho para incluir três tipos diferentes de malware: HijackLoader, Vidar Stealer e Fickle Stealer. Esses tipos de malware são comumente usados para roubar informações sensíveis de usuários, incluindo credenciais armazenadas em navegadores, cookies e chaves de digital wallet.
O HijackLoader permitiu que os atacantes se estabelecessem no sistema infectado, operando silenciosamente em segundo plano. O Vidar Stealer e o Fickle Stealer extraíram ainda mais dados pessoais, visando o armazenamento baseado em navegador e arquivos relacionados a crypto. Como essas ferramentas não afetaram significativamente o desempenho do game, a maioria dos usuários permaneceu inconsciente do comprometimento.
Steam remove Chemia após hack
Ataque Visou Telegram e Servidores Remotos
A análise da Prodaft mostrou que o malware usou o Telegram como um canal de comando e controle. Através dessa configuração, os atacantes conseguiram enviar instruções remotamente e controlar máquinas infectadas. Arquivos maliciosos adicionais foram baixados através de executáveis e scripts específicos, incluindo um arquivo chamado v9d9d.exe usado pelo Vidar Stealer e uma combinação de uma biblioteca de vínculo dinâmico chamada cclib.dll e um script PowerShell chamado worker.ps1, usado pelo Fickle Stealer.
Esses arquivos puxaram código de um site externo identificado como soft-gets[.]com. Essa infraestrutura remota permitiu que o malware permanecesse ativo e adaptável. Também forneceu aos atacantes a capacidade de atualizar os componentes maliciosos a qualquer momento, complicando ainda mais os esforços de detecção e remoção.
Steam remove Chemia após hack
Steam Remove Jogo Sem Declaração Oficial
Após a descoberta, a Valve removeu Chemia da loja da Steam. Atualmente, a página da loja do game não existe mais e redireciona os usuários para a página inicial da plataforma. A Valve não divulgou uma declaração pública sobre a remoção, e nenhum comentário foi emitido pela Aether Forge Studios, os desenvolvedores de Chemia. Ambas as partes foram contatadas por veículos de mídia, incluindo o BleepingComputer, mas não responderam aos pedidos de informação.
O game foi distribuído através do programa Early Access da Steam, que já enfrentou críticas por verificações de segurança e conteúdo menos rigorosas. Como os games nesta seção ainda estão em desenvolvimento, eles podem ser mais vulneráveis a alterações de código não autorizadas ou processos de revisão insuficientes.
Programa Early Access da Steam
Outros Títulos de Early Access Também Encontrados com Malware
Este incidente não é isolado. No início do ano, outros dois games de Early Access na Steam (Sniper: Phantom's Resolution e PirateFi) foram descobertos por conter software prejudicial. Enquanto PirateFi foi descrito como um game baseado em web3 com funcionalidade crypto integrada, Chemia e Sniper: Phantom's Resolution eram games de PC padrão sem elementos blockchain. Todos os três títulos estavam disponíveis como lançamentos de Early Access, levantando preocupações sobre se o sistema atual da Steam oferece salvaguardas suficientes para evitar a distribuição de malware através de títulos não verificados ou em desenvolvimento.
Sniper: Phantom's Resolution
Quem é o EncryptHub?
O EncryptHub, o grupo ligado ao incidente de Chemia, já lançou campanhas de phishing em larga escala usando combinações de malware semelhantes. Em um caso documentado, seus esforços afetaram mais de 600 organizações globalmente. De acordo com a Prodaft, o uso recente da Steam pelo grupo como plataforma de distribuição é uma evolução de suas técnicas anteriores, focando na exploração da confiança dos usuários em serviços respeitáveis.
O relatório da Prodaft observou que o executável do game parecia legítimo para os usuários que o baixavam diretamente da Steam. Essa abordagem contornou os métodos tradicionais de phishing e, em vez disso, baseou-se na engenharia social através de lojas digitais confiáveis. Os pesquisadores enfatizaram que usuários que acessavam games gratuitos ou playtests públicos estavam particularmente em risco, pois poderiam baixar e instalar malware acreditando que fazia parte de um game inofensivo.
EncryptHub
Aumento de Ataques de Malware em Games
As ameaças de cibersegurança que visam videogames estão em ascensão. Dados da Statista mostram que as infecções por malware aumentaram em 87% na última década. Além disso, a Cybersecurity Ventures estima que o custo global do cibercrime atingirá US$ 10,5 trilhões até 2025, mais que o triplo do valor de 2015. Plataformas digitais com grandes bases de usuários, como a Steam, estão se tornando alvos frequentes devido ao alto nível de confiança que os usuários depositam nelas.
Usuários envolvidos com digital currencies ou serviços web3 são especialmente vulneráveis em tais casos. Quando um game extrai silenciosamente wallet keys ou credenciais de login, o impacto financeiro pode ser imediato e grave. O caso Chemia ressalta a necessidade de processos de verificação mais rigorosos em plataformas que atendem tanto a gaming quanto a públicos tecnologicamente experientes.
Hacks em Dados Web3 do DappRadar
Recomendações e Status Atual
Atualmente, Chemia não está mais disponível para download na Steam. No entanto, especialistas em cibersegurança alertam que usuários que instalaram o game antes de sua remoção ainda podem ter sistemas infectados. Recomenda-se que esses usuários escaneiem seus computadores usando ferramentas antivírus atualizadas e monitorem suas crypto wallets e contas pessoais para qualquer atividade incomum.
Permanece incerto como o EncryptHub obteve acesso aos arquivos do game. Uma possibilidade que está sendo investigada é a assistência interna, embora isso não tenha sido confirmado. A Aether Forge Studios não divulgou nenhuma atualização ou resposta através de canais oficiais ou mídias sociais.
Indicadores técnicos completos relacionados ao malware, incluindo nomes de arquivos, domínios e comportamentos de arquivos, foram publicados pela Prodaft em sua página oficial do GitHub. Usuários e administradores de sistema que podem ter encontrado o game são encorajados a consultar este recurso para análise detalhada e suporte de detecção.
