Um grupo de hackers conhecido como EncryptHub comprometeu um videojogo na plataforma Steam para distribuir malware do tipo "info-stealer", concebido para roubar informações dos utilizadores que descarreguem o título. O jogo em questão, "Chemia", está a ser utilizado como um veículo para uma perigosa campanha de ciberataques.
O ataque ao jogo Chemia
Segundo a empresa de cibersegurança Prodaft, o ataque inicial ocorreu a 22 de julho. O hacker, também identificado como Larva-208, injetou ficheiros maliciosos no projeto do jogo "Chemia", desenvolvido pela Aether Forge Studios. Atualmente, o título encontra-se em acesso antecipado (early access) na Steam, sem uma data de lançamento oficial definida.
A investigação da Prodaft revela que o ataque cria uma armadilha eficaz. "O executável comprometido parece legítimo para os utilizadores que o descarregam da Steam, criando uma componente de engenharia social que se baseia na confiança na plataforma", afirma o relatório. Quando um jogador clica para testar o jogo, que se encontra na secção de títulos gratuitos, está na verdade a instalar software malicioso no seu sistema.
Como funciona o malware "invisível"
O ataque desenrola-se em duas fases. Primeiro, é instalado o malware HijackLoader, que garante a sua permanência no dispositivo da vítima e descarrega o Vidar, um conhecido "info-stealer". De forma astuta, o endereço do servidor de comando e controlo (C2) de onde o malware recebe instruções é obtido através de um canal na plataforma Telegram.
Apenas três horas depois, um segundo malware, o Fickle Stealer, foi adicionado ao jogo. Este componente é especialista em extrair dados guardados nos navegadores de internet, como credenciais de contas, informações de preenchimento automático, cookies e dados de carteiras de criptomoedas. Para não levantar suspeitas, o malware foi concebido para operar em segundo plano, sem afetar o desempenho do jogo, deixando os jogadores sem qualquer indício de que foram infetados.
Um hacker com um historial peculiar
O EncryptHub não é um ator desconhecido no mundo da cibersegurança. O grupo esteve por trás de uma campanha massiva de spear-phishing e engenharia social no ano passado, que comprometeu mais de seiscentas organizações a nível mundial. Curiosamente, este hacker tem um perfil ambíguo, estando associado tanto à exploração de vulnerabilidades "zero-day" do Windows como à divulgação responsável de falhas críticas à própria Microsoft.
O que devem os jogadores fazer? Cuidado com o "Acesso Antecipado"
Até ao momento, nem a produtora do jogo nem a Valve, proprietária da Steam, emitiram comunicados oficiais. O jogo "Chemia" continua disponível na plataforma, e não é claro se a versão atual já foi corrigida ou se ainda representa um perigo. Por precaução, a recomendação é evitar totalmente o seu download até que haja um esclarecimento oficial.
Este incidente marca o terceiro caso de malware a infiltrar-se na Steam apenas este ano, sucedendo aos casos de ‘Sniper: Phantom’s Resolution’ em março e ‘PirateFi’ em fevereiro. Em todas as situações, os títulos afetados estavam em acesso antecipado, o que pode sugerir um processo de revisão menos rigoroso por parte da Steam para jogos que ainda não estão na sua versão final. Fica o aviso: é necessária cautela redobrada ao descarregar títulos em desenvolvimento.
Para os utilizadores mais técnicos, os indicadores de compromisso (IoCs) relativos a este ataque do EncryptHub foram disponibilizados pela Prodaft no GitHub.
Aplicações TugaTech
Discord do TugaTech
RSS do TugaTech
Speedtest Tugatech
Host TugaTech