Malver u novoj igri na Steamu krade lozinke i kriptovalutu

Vesti, 25.07.2025, 11:00 AM

Igrači na Steam platformi ponovo su se našli na meti sajber kriminalaca, ovoga puta kroz kompromitovanu igru Chemia, koja je korišćena za distribuciju info-stealer malvera. Igra, koja se nalazi u fazi ranog pristupa i za koju se ne zna zvaničan datum objavljvanja, delo je nezavisnog studija Aether Forge, a napad su otkrili istraživači iz kompanije Prodaft.

Napadač pod imenom EncryptHub, poznat i kao Larva-208, 22. jula je ubacio malver HijackLoader (CVKRUTNP.exe) u instalacione fajlove igre. Ovaj malver omogućava napadaču da uspostavi trajno prisustvo na računaru žrtve i preuzme sledeći malver, poznati info-stealer Vidar (v9d9d.exe). Adresa komandno-kontrolnog servera (C2), preko koje se odvija komunikacija između malvera i napadača, dolazila je sa Telegram kanala, što dodatno otežava detekciju i blokiranje.

Samo tri sata nakon dodavanja prvog malvera, u istu igru ubačen je i Fickle Stealer, putem fajla cclib.dll. Ova komponenta koristi PowerShell skriptu (worker.ps1) kako bi preuzela glavni payload sa domena soft-gets[.]com. Fickle Stealer je izuzetno opasan jer je specijalizovan za krađu podataka iz veb pregledača, uključujući korisnička imena i lozinke, automatski popunjene podatke, kolačiće, pa čak i podatke iz kripto novčanika.

Zanimljivo je da je EncryptHub već poznat bezbednosnim stručnjacima po prošlogodišnjoj velikoj spear-phishing kampanji koja je kompromitovala više od 600 organizacija širom sveta. Istraživači ga opisuju kao kontradiktornu figuru u sajber podzemlju: s jedne strane odgovoran je za eksploataciju ranjivosti u Windowsu, uključujući i zero-day propuste, a s druge strane navodno stoji i iza prijavljivanja kritičnih bezbednosnih grešaka Microsoftu.

Prema izveštaju koji je Prodaft podelio sa portalom BleepingComputer, kompromitovani izvršni fajl izgleda legitimno korisnicima koji igru preuzimaju sa Steama. To je socijalni inženjering - nema klasične prevare, igra je dostupna na legalnoj platformi, a korisnici veruju da su zaštićeni. Igra funkcioniše normalno, bez tehničkih problema, dok malver u pozadini tiho prikuplja podatke, što dodatno otežava rano otkrivanje.

Nije još uvek jasno kako je EncryptHub uspeo da ubaci zlonamerne fajlove u sam projekat igre. Jedna od mogućnosti jeste da je neko iznutra - programer ili saradnik - pomogao u napadu, iako nije isključeno ni da je kompromitovan Steam nalog samog programera. Studio Aether Forge do sada nije dao nijednu zvaničnu izjavu, ni na Steam stranici igre ni na društvenim mrežama. Platforma Valve takođe nije komentarisala situaciju, a igra je i dalje dostupna za preuzimanje. Nije jasno da li je najnovija verzija očišćena od malvera ili je i dalje opasna za preuzimanje. Dok Steam ne objavi zvanično saopštenje, bilo bi bolje da je u potpunosti izbegavate.

Ovo je već treći slučaj u 2025. godini da je malver pronađen u igrima na Steamu. Pre Chemie, slični incidenti zabeleženi su sa igrama „Sniper: Phantom’s Resolution“ u martu i „PirateFi“ u februaru. Svi slučajevi imaju nešto zajedničko - u pitanju su naslovi u fazi ranog pristupa, a ne stabilne verzije, što ukazuje na moguće slabije kontrole i recenzije za ovakve projekte na Steamu. Preporučuje se oprez pri preuzimanju i pokretanju early access igara, posebno ako dolaze od manje poznatih programera.