11,4 тыс подписчиков

Опасная атака через игру Chemia в Steam

25 июля25 июл

1 мин

Изображение: Ahmed Atef (unsplash)

Компания Prodaft выявила серьёзную кибератаку, связанную с распространением вредоносного ПО через платформу Steam. Хакер под псевдонимом EncryptHub (также известный как Larva-208) взломал файлы игры Chemia от студии Aether Forge Studios, находящейся в раннем доступе, и встроил в них несколько опасных инфостилеров.

По данным исследователей, атака началась 22 июля 2025 года. Вредоносный код был внедрён в игровой исполняемый файл (CVKRUTNP.exe) и выполнял загрузку компонента HijackLoader, а затем — инфостилера Vidar под видом файла v9d9d.exe. Командно-контрольный сервер (C2) вредоноса получал адрес из Telegram-канала, что позволило злоумышленнику гибко управлять инфраструктурой.

Через три часа в игру был загружен второй компонент — Fickle Stealer, распространявшийся через DLL-файл cclib.dll, использующий PowerShell-скрипт worker.ps1 для загрузки основной нагрузки с сайта soft-gets[.]com. Этот вредонос собирает чувствительные данные из браузеров: логины, пароли, автозаполнение, куки, а также информацию криптовалютных кошельков.

В отчёте Prodaft подчёркивается, что EncryptHub в прошлом уже применял аналогичные вредоносы в масштабных кампаниях фишинга и социальной инженерии, повлиявших более чем на 600 организаций по всему миру. Уникальность этого хакера в том, что он совмещает активную эксплуатацию уязвимостей нулевого дня в Windows с эпизодическим «ответственным раскрытием» критических багов компании Microsoft.

Особо подчёркивается, что доверие к платформе Steam сыграло критическую роль. Пользователи, активировавшие Chemia через ссылку Playtest, не подозревали, что вместе с игрой загружается вредоносное ПО. Это создало идеальный вектор социальной инженерии — не через фейковые сайты или письма, а напрямую через официальный дистрибутив в крупнейшем игровом сервисе.

Оригинал публикации на сайте CISOCLUB: "Хакер внедрил вредонос в игру Chemia на Steam".