На платформе Steam выявлена вредоносная игра BlockBlasters, опубликованная разработчиком под именем Genesis Interactive. Проект оказался носителем инфостилера, из-за чего пострадали сотни пользователей. Инцидент получил широкую огласку после того, как стример RastalandTV (Райво Плавниекс) лишился $32 000, собранных на лечение саркомы четвертой стадии, установив игру по совету зрителя во время прямого эфира.
Steam удалил игру: хронология и ключевые факты
По данным SteamDB, BlockBlasters был доступен с 30 июля по 21 сентября 2025 года. До 30 августа игра считалась безопасной, после чего в одном из обновлений появился вредоносный компонент, ориентированный на кражу криптоактивов. На текущий момент проект удален из магазина, однако упоминания о нем сохранились в архивах и базах мониторинга.
Как работала атака: дроппер, стилер и канал управления
Исследователи ИБ проанализировали пакет игры и обнаружили batch-дроппер, который выполнял проверки окружения (anti-VM/anti-analysis), затем собирал учетные данные для входа в Steam вместе с IP-адресом жертвы и отправлял их на удаленный сервер управления. Дополнительно, по данным GDATA, применялись Python-бэкдор и пейлоад инфостилера StealC, известного способностью извлекать сохраненные секреты из браузеров и некоторых настольных кошельков.
Масштаб ущерба и таргетирование жертв
Известный блокчейн-аналитик ZachXBT оценивает ущерб минимум в $150 000 у 261 пользователя Steam. Команда VXUnderground сообщила о 478 потенциально скомпрометированных аккаунтах и опубликовала перечень никнеймов, призвав владельцев срочно сбросить пароли и активировать дополнительные меры защиты. По наблюдениям исследователей, злоумышленники действовали выборочно: жертв с крупными криптовалютными активами находили в соцсети X (бывший Twitter), приходили к ним в личные сообщения, предлагали установить игру и затем «дать ей промо» на стриме.
Человеческий фактор и реакция сообщества
История RastalandTV быстро привлекла внимание сообщества. Криптоинфлюенсер Алекс Беккер сообщил, что перевел стримеру $32 500 на безопасный кошелек, чтобы покрыть украденные пожертвования. Кампания на GoFundMe к моменту инцидента была выполнена на 58%, а после произошедшего сбор средств ускорился.
Ошибки операторов и ход расследования
Операторы кампании допустили ряд операционных ошибок: в открытом доступе оказались фрагменты кода Telegram-бота и токены. По заявлениям OSINT-энтузиастов, это позволило предположительно идентифицировать фигуранта как аргентинского иммигранта, проживающего в Майами. Утверждается, что информация передана в соответствующие службы США. Эти данные требуют официального подтверждения правоохранителями.
Контекст: не первый случай малвари в Steam в 2025 году
BlockBlasters стал уже четвертым инцидентом с вредоносным ПО в экосистеме Steam в 2025 году. Весной платформа удаляла Sniper: Phantom’s Resolution и PirateFi, а в июле в игре Chemia обнаружили инфостилер. Рост подобных кейсов указывает на системные риски модерации контента и необходимость усиления предварительных и пострелизных проверок обновлений.
Риски для геймеров и рекомендации по защите
Основной вектор угрозы — запуск неизвестных исполняемых файлов на рабочей машине, где авторизованы криптокошельки, биржи и Steam. Рекомендуется: 1) включить Steam Guard и обязательную 2FA везде, где доступно; 2) отделять игровые и финтех-активности: хранить ключи/сид-фразы офлайн, работать с криптой на изолированном устройстве или профиле; 3) не устанавливать игры по личным приглашениям из соцсетей, особенно перед стримом; 4) регулярно менять пароли и использовать менеджер паролей; 5) при подозрении на компрометацию — выполнить логаут во всех сессиях, сбросить пароли, отозвать токены, проверить систему обновленным антивирусом и EDR.
Инцидент с BlockBlasters подчеркивает: экосистема дистрибуции игр все чаще используется как канал доставки малвари, особенно в таргетированных атаках против тех, кто публично связан с криптоактивами. Пользователям стоит пересмотреть операционную гигиену, а площадкам — усилить контроль обновлений и реагирование на сигналы от сообщества и исследователей. Будьте осторожны с рекомендациями из чатов, проверяйте источники и храните криптовалюту в среде с минимальными правами и максимальной изоляцией.
