Steam-malwareangrepet har skremt spillere etter at trusselaktøren EncryptHub kompromitterte et early access-spill på Steam. Survival crafting-spillet Chemia ble funnet å inneholde info-tyveri-malware, noe som satte intetanende spillere i alvorlig fare.
Hvordan angrepet skjedde
Sikkerhetsforskere hos Prodaft rapporterer at kompromitteringen startet 22. juli. EncryptHub (også sporet som Larva-208) injiserte ondsinnede binærfiler i Chemia sine filer. De endrede filene leverte:
- HijackLoader (CVKRUTNP.exe) – etablerer vedvarende tilgang og henter Vidar infostealer.
- Vidar infostealer (v9d9d.exe) – stjeler kontoopplysninger, nettleserdata og informasjon om kryptovaluta-lommebøker.
- Malware henter sin C2-adresse fra en Telegram-kanal.
Den andre malware-injeksjoner
Bare tre timer senere la EncryptHub til en annen payload, Fickle Stealer, via cclib.dll-filen. Denne malwaren, som startes via et PowerShell-skript (worker.ps1), samler sensitiv nettleserdata, inkludert lagrede passord og informasjonskapsler.
Prodaft bemerker at den ondsinnede kjørbare filen ser legitim ut for brukerne, og utnytter Steams plattformtillit for å spre malware.
Hvem er EncryptHub?
EncryptHub er en kjent trusselaktør som er knyttet til både cyberangrep og ansvarlige sårbarhetsavsløringer. I fjor gjennomførte gruppen en stor spear-phishing-kampanje som rammet over 600 organisasjoner på verdensbasis.
I det nyeste Steam-malwareangrepet kjører den ondsinnede programvaren stille i bakgrunnen uten å påvirke spillopplevelsen. Spillere vil sannsynligvis ikke oppdage kompromitteringen.
Svar og risikoer
Verken Aether Forge Studios, utvikleren av Chemia, eller Valve har gitt noen uttalelse. Per nå er Chemia fortsatt tilgjengelig på Steam, og det er uklart om spillets filer er blitt renset.
Hvorfor Early Access-titler er risikofylte
Alle de tre malwaretilfellene involverte early access-spill. Disse titlene gjennomgår ofte mindre grundige vurderinger, noe som skaper en mulighet for angripere. Spillere bør være forsiktige når de laster ned arbeider i utvikling.
Konklusjon
Steam-malwareangrepet fremhever risikoen ved å stole på early access-spill uten verifikasjon. Med info-tyver som Vidar og Fickle Stealer aktive i Chemia, bør spillere unngå å laste ned tittelen før Valve og utvikleren bekrefter at den er trygg. Sikkerhetsforskere har publisert indikatorer på kompromittering for å hjelpe brukere med å oppdage infeksjon.
0 svar til “Steam-malwareangrep retter seg mot early access-spillet Chemia”