FBI bada malware ukryte w grach na Steamie. Zagrożone konta, dane i kryptowaluty - Security Bez Tabu

FBI bada malware ukryte w grach na Steamie. Zagrożone konta, dane i kryptowaluty

Cybersecurity news

Wprowadzenie do problemu / definicja

Dystrybucja złośliwego oprogramowania za pośrednictwem popularnych platform z grami staje się coraz poważniejszym problemem bezpieczeństwa. Najnowsza sprawa dotyczy tytułów udostępnionych na Steamie, które miały zawierać malware wykorzystywane do przejmowania kont, kradzieży danych oraz aktywów cyfrowych. Incydent zyskał rangę śledztwa federalnego, ponieważ amerykańskie organy ścigania rozpoczęły identyfikację użytkowników, którzy mogli zostać zainfekowani między majem 2024 roku a styczniem 2026 roku.

To kolejny przykład sytuacji, w której cyberprzestępcy wykorzystują zaufanie użytkowników do znanej platformy dystrybucyjnej. W praktyce oznacza to, że nawet pozornie legalna i łatwo dostępna gra może stać się nośnikiem szkodliwego kodu.

W skrócie

FBI prowadzi dochodzenie dotyczące gier opublikowanych na Steamie, które miały rozprzestrzeniać malware. Śledczy próbują ustalić użytkowników, którzy zainstalowali wskazane produkcje i mogli paść ofiarą przejęcia kont, wycieku danych lub kradzieży kryptowalut.

  • Sprawa obejmuje okres od maja 2024 r. do stycznia 2026 r.
  • Wśród wskazywanych tytułów pojawiają się m.in. BlockBlasters, Chemia, Dashverse/DashFPS, Lampy, Lunara, PirateFi oraz Tokenova.
  • Usunięto podejrzane gry z platformy.
  • Użytkownikom zalecono skanowanie systemów, kontrolę kont i analizę ewentualnych nieautoryzowanych zmian.

Kontekst / historia

Ataki z użyciem zaufanych kanałów dystrybucji oprogramowania nie są zjawiskiem nowym, jednak w ostatnich latach wyraźnie rośnie skala takich kampanii. Cyberprzestępcy coraz częściej próbują omijać naturalną ostrożność użytkowników, publikując złośliwe aplikacje w środowiskach postrzeganych jako względnie bezpieczne. Platformy gamingowe są szczególnie atrakcyjnym celem ze względu na ogromną liczbę odbiorców, szybkie tempo instalacji nowych tytułów i niski próg zaufania wobec oficjalnych sklepów.

W badanym przypadku śledztwo dotyczy kilku tytułów, które według dostępnych informacji były powiązane z osadzonym złośliwym kodem. Długi przedział czasowy sugeruje, że kampania mogła mieć charakter rozproszony i być prowadzona etapami, co zwiększa ryzyko, że część ofiar przez długi czas nie była świadoma kompromitacji swoich systemów.

Analiza techniczna

Z technicznego punktu widzenia tego rodzaju kampanie zwykle opierają się na trojanizacji legalnie wyglądającej aplikacji. Użytkownik pobiera grę, uruchamia ją zgodnie z przeznaczeniem, a razem z właściwym programem aktywowany jest dodatkowy komponent wykonujący działania nieautoryzowane. Może to być loader, infostealer, moduł przejmujący sesje lub mechanizm utrwalający obecność malware w systemie.

W tym przypadku najbardziej prawdopodobne cele operacyjne atakujących to kradzież danych uwierzytelniających oraz przejęcie kont użytkowników, a także uzyskanie dostępu do portfeli kryptowalutowych i powiązanych artefaktów. Tego typu malware może przechwytywać zapisane hasła, tokeny sesyjne, dane ze schowka, pliki konfiguracyjne portfeli oraz inne informacje pozwalające na przejęcie zasobów ofiary.

  • Uruchamianie złośliwego kodu już przy pierwszym starcie gry.
  • Pobieranie kolejnych modułów z infrastruktury kontrolowanej przez atakujących.
  • Profilowanie systemu pod kątem przeglądarek, klientów poczty, komunikatorów i aplikacji finansowych.
  • Eksfiltracja danych uwierzytelniających, historii transakcji i artefaktów sesyjnych.
  • Stosowanie technik utrudniających szybką detekcję zagrożenia.

Warto podkreślić, że skuteczność takich operacji nie musi wynikać z użycia zaawansowanych exploitów. Często wystarcza połączenie socjotechniki, wiarygodnej oprawy aplikacji i wykorzystania zaufania do platformy, na której użytkownik sam inicjuje instalację.

Konsekwencje / ryzyko

Najbardziej bezpośrednim skutkiem incydentu jest kompromitacja komputera użytkownika. W zależności od funkcji malware może to prowadzić do utraty dostępu do kont, wycieku danych osobowych, przejęcia zapisanych haseł, kradzieży kryptowalut oraz naruszenia bezpieczeństwa innych usług używanych na tym samym urządzeniu.

Ryzyko rośnie szczególnie wtedy, gdy użytkownik przechowuje hasła w przeglądarce, używa tych samych danych logowania w wielu serwisach lub korzysta z prywatnego komputera także do pracy zdalnej. W takim scenariuszu pozornie jednostkowy incydent konsumencki może stać się punktem wejścia do środowiska firmowego.

  • Przejęcie kont Steam, poczty e-mail i komunikatorów.
  • Kradzież środków z portfeli kryptowalutowych.
  • Wyciek danych osobowych i zapisanych poświadczeń.
  • Rozszerzenie kompromitacji na inne usługi powiązane z tym samym adresem e-mail.
  • Potencjalne ryzyko dla organizacji, jeśli urządzenie służy również do pracy.

Rekomendacje

Użytkownicy, którzy instalowali wskazane gry lub podejrzewają, że mogli mieć kontakt z zagrożeniem, powinni potraktować sprawę jako pełnoprawny incydent bezpieczeństwa. Kluczowe jest nie tylko usunięcie podejrzanej aplikacji, ale również sprawdzenie, czy infekcja nie pozostawiła trwałych mechanizmów działania w systemie.

  • Odinstalować podejrzane tytuły i tymczasowo odłączyć komputer od sieci.
  • Uruchomić pełne skanowanie systemu z użyciem aktualnego oprogramowania antywirusowego.
  • Sprawdzić autostart, harmonogram zadań, usługi systemowe i nietypowe procesy.
  • Zmienić hasła do Steam, poczty e-mail, usług finansowych i innych kluczowych kont.
  • Wylogować aktywne sesje i włączyć MFA wszędzie tam, gdzie to możliwe.
  • Przeanalizować historię logowań, zmian ustawień konta i podejrzanych transakcji.
  • Rozważyć pełną reinstalację systemu, jeśli istnieją przesłanki trwałej kompromitacji.
  • Zabezpieczyć logi, próbki plików i inne artefakty, które mogą pomóc w analizie incydentu.

Z perspektywy platform dystrybucyjnych kluczowe znaczenie ma wzmacnianie procesów weryfikacji aplikacji, analiza behawioralna publikowanych binariów oraz szybsza komunikacja z użytkownikami po wykryciu zagrożenia.

Podsumowanie

Śledztwo FBI dotyczące malware ukrytego w grach na Steamie pokazuje, że nawet popularne i powszechnie uznawane za wiarygodne platformy mogą zostać wykorzystane do dystrybucji złośliwego oprogramowania. Długi okres potencjalnej ekspozycji oznacza, że skala problemu może być większa, niż początkowo zakładano.

Dla użytkowników to wyraźny sygnał, że bezpieczeństwo nie kończy się na korzystaniu z oficjalnego sklepu. Dla branży jest to z kolei przypomnienie, że kontrola jakości i analiza bezpieczeństwa publikowanych aplikacji muszą nadążać za ewoluującymi metodami atakujących.

Źródła

  1. Security Affairs — https://securityaffairs.com/189515/cyber-crime/fbi-launches-inquiry-into-steam-games-spreading-malware.html
  2. SteamDB post dotyczący PirateFi — https://x.com/SteamDB/status/1889643208814623026
  3. FBI Seattle Division Victim Notice — https://forms.fbi.gov/seeking-victims-who-downloaded-malware-infected-video-games-on-steam