Downfall, фанатское расширение для популярной инди-стратегии Slay the Spire, было взломано под Рождество с целью распространения вредоносной программы Epsilon для кражи информации с помощью системы обновлений Steam.
Как рассказал genshin разработчик Майкл Мейхем (Michael Mayhem), взломанный пакет это упакованная автономная модифицированная версия оригинальной игры, а не мод, установленный через Steam Workshop.
"На одно из наших устройств попало вредоносное ПО, которое не было отмечено или заблокировано защитой, установленной на нем. Насколько мне известно, это не было вредоносное ПО для кражи паролей, так как 2FA не сработало и не остановило его, а все взломанные учетные записи были заведены на разные адреса электронной почты (и ни один из этих адресов не был украден)", - сказал Майхем genshin, отметив, что он "не хочет утверждать что-либо с полной уверенностью" до получения профессиональной оценки.
"Это навело нас на мысль, что это был взлом токена (как нам сообщил специалист по безопасности), специально разработанный для взлома Steam и использования его для загрузки и Discord, чтобы не предупреждать пользователей, но на данный момент это всего лишь предположение".
Злоумышленники взломали Steam и Discord одного из разработчиков Downfall, что позволило им получить контроль над Steam-аккаунтом мода.
"Окно взлома было примерно в 13:30 - 14:30 по восточному времени (1830-1930 UTC+0) 25 декабря. Если вы запустили Downfall 12/25 во время окна взлома и получили всплывающее окно с установщиком библиотеки Unity, продолжайте читать. Вы также можете быть в опасности. Брешь в системе безопасности позволила вредоносной загрузке заменить упакованную игру Downfall", - заявили в Mayhem. сообщил в заявлении, опубликованном в среду.
После установки на взломанный компьютер вредоносная программа собирает cookies, сохраненные пароли и кредитные карты из веб-браузеров (Google Chrome, Yandex, Microsoft Edge, Mozilla Firefox, Brave, Vivaldi), а также информацию из Steam и Discord.
Кроме того, он будет искать документы, содержащие в именах файлов слово "password", и другие учетные данные, включая локальный логин Windows и Telegram.
Пользователям Downfall рекомендуется сменить все важные пароли, особенно для учетных записей, не защищенных 2FA (двухфакторной аутентификацией).
Пользователи, получившие вредоносное обновление, сообщили, что оно устанавливалось как приложение Windows Boot Manager в папку AppData или как UnityLibManager в папку /AppData/Roaming.
Epsilon Stealer это вредоносная программа для кражи информации, продаваемая через Telegram и Discord другим участникам угроз. Обычно она используется для нападения на геймеров в Discord, заставляя их установить вредоносную программу под видом тестирования новой игры на наличие ошибок в обмен на оплату.
Однако после установки игры в нее внедряется вредоносное ПО, которое работает в фоновом режиме и похищает пароли, данные кредитных карт и файлы cookie для аутентификации пользователя.
Похищенная информация либо используется злоумышленниками для взлома других аккаунтов, либо продается на темных интернет-площадках.
Согласно данным VirusTotalвероятно, что угрожающий агент, стоящий за этой атакой, также атаковал другие игры и разработчиков игр.
Steam усиливает безопасность
В октябре компания Valve объявила, что теперь требует проверки безопасности с помощью SMS-сообщений от разработчиков игр, выкладывающих обновления в стандартную ветку релизов в Steam.
Это решение было принято в связи с участившимися случаями использования взломанных учетных записей Steamworks для загрузки вредоносных сборок игр с целью заражения игроков вредоносным ПО, начиная с конца августа.
"В рамках обновления системы безопасности все учетные записи Steamworks, устанавливающие сборки на дефолтную/публичную ветку выпущенного приложения, должны будут указать номер телефона, связанный с их учетной записью, чтобы Steam мог отправить вам код подтверждения, прежде чем продолжить работу", - заявила Valve в октябре.
То же самое будет справедливо и для любой учетной записи Steamworks, которой необходимо добавить новых пользователей". Это изменение вступит в силу 24 октября 2023 года, поэтому не забудьте добавить номер телефона в свою учетную запись сейчас. Мы также планируем добавить это требование для других действий Steamworks в будущем".
Обновление 12/28/23: учетная запись электронной почты разработчика не была взломана.
