Исследователи кибербезопасности зафиксировали серьезный инцидент на платформе Steam, когда злоумышленник под псевдонимом EncryptHub успешно внедрил вредоносное программное обеспечение в игру раннего доступа Chemia. Данная атака представляет особую опасность, поскольку использует доверие пользователей к официальной игровой платформе для распространения инфостилеров.
Детали кибератаки на игру Chemia
Согласно исследованию компании Prodaft, компрометация indie-игры Chemia от студии Aether Forge Studios произошла 22 июля 2025 года. Хакер, также известный под алиасами LARVA-208 и Water Gamayun, использовал многоступенчатый подход для заражения системы.
Первоначально злоумышленник внедрил в файлы игры малварь HijackLoader (файл CVKRUTNP.exe), которая выполняет функции загрузчика для основной полезной нагрузки. Данный троян обеспечивает закрепление в системе жертвы и последующую загрузку инфостилера Vidar через файл v9d9d.exe.
Двухэтапная схема заражения
Через три часа после первоначального внедрения атакующий добавил в игру дополнительный компонент — DLL-файл cclib.dll, содержащий второй инфостилер Fickle Stealer. Этот модуль использует PowerShell-скрипт worker.ps1 для получения основной полезной нагрузки с компрометированного ресурса soft-gets[.]com.
Примечательно, что малварь получает адреса управляющих серверов через Telegram-каналы, что усложняет обнаружение и блокировку командной инфраструктуры злоумышленников.
Функциональность вредоносного ПО
Инфостилер Fickle Stealer нацелен на кражу широкого спектра конфиденциальных данных из браузеров пользователей, включая:
• Учетные данные и пароли
• Информацию для автозаполнения форм
• Файлы cookie и сессионные токены
• Данные криптовалютных кошельков
Особую опасность представляет тот факт, что вредоносное ПО работает в фоновом режиме, не влияя на производительность игры. Это означает, что пользователи могут продолжать играть, не подозревая о компрометации своих систем.
Социальная инженерия и доверие к платформе
Эксперты Prodaft подчеркивают, что данная атака использует элементы социальной инженерии, основанные на доверии пользователей к официальной платформе Steam. Когда геймеры нажимают кнопку «Playtest» для бесплатной игры, они не ожидают загрузки вредоносного ПО с официального источника.
Это не первый случай использования EncryptHub подобной тактики. В прошлом году этот же хакер провел масштабную фишинговую кампанию, которая привела к компрометации более 600 организаций по всему миру.
Профиль киберпреступника EncryptHub
Согласно отчету шведской компании Outpost24 KrakenLabs, EncryptHub представляет собой необычный случай в мире кибербезопасности. Этот индивидуум совмещает преступную деятельность с легитимной работой в сфере информационной безопасности, выступая одновременно как хакер и баг-хантер.
Парадоксально, но EncryptHub недавно ответственно сообщил Microsoft о двух уязвимостях нулевого дня в Windows, что демонстрирует его глубокие технические знания и двойственную природу деятельности.
Тенденции безопасности игровых платформ
Инцидент с Chemia стал уже третьим случаем обнаружения малвари в Steam за текущий год. Ранее с платформы были удалены зараженные игры Sniper: Phantom’s Resolution и PirateFi, что указывает на растущую угрозу для экосистемы цифрового распространения игр.
Характерно, что все скомпрометированные проекты находились в статусе раннего доступа, что может указывать на целенаправленный выбор менее защищенных целей злоумышленниками.
Данный инцидент подчеркивает критическую важность многоуровневой защиты как для разработчиков игр, так и для самих игроков. Пользователям рекомендуется использовать современные антивирусные решения, регулярно обновлять системы безопасности и проявлять осторожность даже при загрузке контента с официальных платформ. Игровая индустрия должна усилить процедуры верификации и мониторинга для предотвращения подобных инцидентов в будущем.
