Масштабная кибератака через Steam: хакер EncryptHub заразил игру Chemia опасным инфостилером

CyberSecureFox 🦊

Исследователи кибербезопасности зафиксировали серьезный инцидент на платформе Steam, когда злоумышленник под псевдонимом EncryptHub успешно внедрил вредоносное программное обеспечение в игру раннего доступа Chemia. Данная атака представляет особую опасность, поскольку использует доверие пользователей к официальной игровой платформе для распространения инфостилеров.

Детали кибератаки на игру Chemia

Согласно исследованию компании Prodaft, компрометация indie-игры Chemia от студии Aether Forge Studios произошла 22 июля 2025 года. Хакер, также известный под алиасами LARVA-208 и Water Gamayun, использовал многоступенчатый подход для заражения системы.

Первоначально злоумышленник внедрил в файлы игры малварь HijackLoader (файл CVKRUTNP.exe), которая выполняет функции загрузчика для основной полезной нагрузки. Данный троян обеспечивает закрепление в системе жертвы и последующую загрузку инфостилера Vidar через файл v9d9d.exe.

Двухэтапная схема заражения

Через три часа после первоначального внедрения атакующий добавил в игру дополнительный компонент — DLL-файл cclib.dll, содержащий второй инфостилер Fickle Stealer. Этот модуль использует PowerShell-скрипт worker.ps1 для получения основной полезной нагрузки с компрометированного ресурса soft-gets[.]com.

Примечательно, что малварь получает адреса управляющих серверов через Telegram-каналы, что усложняет обнаружение и блокировку командной инфраструктуры злоумышленников.

Функциональность вредоносного ПО

Инфостилер Fickle Stealer нацелен на кражу широкого спектра конфиденциальных данных из браузеров пользователей, включая:

• Учетные данные и пароли
• Информацию для автозаполнения форм
• Файлы cookie и сессионные токены
• Данные криптовалютных кошельков

Особую опасность представляет тот факт, что вредоносное ПО работает в фоновом режиме, не влияя на производительность игры. Это означает, что пользователи могут продолжать играть, не подозревая о компрометации своих систем.

Социальная инженерия и доверие к платформе

Эксперты Prodaft подчеркивают, что данная атака использует элементы социальной инженерии, основанные на доверии пользователей к официальной платформе Steam. Когда геймеры нажимают кнопку «Playtest» для бесплатной игры, они не ожидают загрузки вредоносного ПО с официального источника.

Это не первый случай использования EncryptHub подобной тактики. В прошлом году этот же хакер провел масштабную фишинговую кампанию, которая привела к компрометации более 600 организаций по всему миру.

Профиль киберпреступника EncryptHub

Согласно отчету шведской компании Outpost24 KrakenLabs, EncryptHub представляет собой необычный случай в мире кибербезопасности. Этот индивидуум совмещает преступную деятельность с легитимной работой в сфере информационной безопасности, выступая одновременно как хакер и баг-хантер.

Парадоксально, но EncryptHub недавно ответственно сообщил Microsoft о двух уязвимостях нулевого дня в Windows, что демонстрирует его глубокие технические знания и двойственную природу деятельности.

Тенденции безопасности игровых платформ

Инцидент с Chemia стал уже третьим случаем обнаружения малвари в Steam за текущий год. Ранее с платформы были удалены зараженные игры Sniper: Phantom’s Resolution и PirateFi, что указывает на растущую угрозу для экосистемы цифрового распространения игр.

Характерно, что все скомпрометированные проекты находились в статусе раннего доступа, что может указывать на целенаправленный выбор менее защищенных целей злоумышленниками.

Данный инцидент подчеркивает критическую важность многоуровневой защиты как для разработчиков игр, так и для самих игроков. Пользователям рекомендуется использовать современные антивирусные решения, регулярно обновлять системы безопасности и проявлять осторожность даже при загрузке контента с официальных платформ. Игровая индустрия должна усилить процедуры верификации и мониторинга для предотвращения подобных инцидентов в будущем.

Оставьте комментарий

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.