Платформа Steam стала мішенню складної кібератаки, коли зловмисник під псевдонімом EncryptHub успішно інфікував інді-гру Chemia шкідливим програмним забезпеченням. Цей інцидент демонструє нову тактику кіберзлочинців, які експлуатують довіру користувачів до офіційних ігрових платформ для розповсюдження інфостілерів.
Технічний аналіз багатоетапної атаки
За даними дослідження компанії Prodaft, компрометація гри від студії Aether Forge Studios відбулася 22 липня 2025 року. Атакуючий, відомий також як LARVA-208 та Water Gamayun, реалізував складну багатоступеневу схему заражения.
Початкова фаза атаки передбачала впровадження HijackLoader (файл CVKRUTNP.exe) – троянського завантажувача, який забезпечує стійкість у системі жертви. Цей компонент відповідає за завантаження основного корисного навантаження – інфостілера Vidar через виконуваний файл v9d9d.exe.
Двокомпонентна архітектура малварі
Через три години після початкового втручання зловмисник додав у гру додатковий модуль – DLL-бібліотеку cclib.dll, що містить другий інфостілер Fickle Stealer. Цей компонент використовує PowerShell-скрипт worker.ps1 для отримання основного корисного навантаження з компрометованого ресурсу soft-gets[.]com.
Особливістю даної малварі є використання Telegram-каналів для отримання адрес командних серверів, що значно ускладнює виявлення та блокування інфраструктури зловмисників службами безпеки.
Функціональні можливості інфостілерів
Шкідливе ПЗ Fickle Stealer спеціалізується на витягуванні конфіденційних даних з веб-браузерів користувачів. До цільових даних належать:
• Облікові дані та паролі від різних сервісів
• Інформація автозаповнення веб-форм
• Cookie-файли та сесійні токени
• Дані криптовалютних гаманців
Критичною особливістю є прихована робота малварі у фоновому режимі без впливу на продуктивність ігрового процесу. Це дозволяє користувачам продовжувати гру, не підозрюючи про компрометацію своїх систем.
Соціальна інженерія та експлуатація довіри
Експерти Prodaft наголошують на використанні елементів соціальної інженерії, що базуються на довірі геймерів до офіційної платформи Steam. Натискаючи кнопку “Playtest” для безкоштовної гри, користувачі не очікують завантаження шкідливого ПЗ з легітимного джерела.
Це не перший випадок використання EncryptHub подібної тактики. Минулого року цей же кіберзлочинець провів масштабну фішингову кампанію, що призвела до компрометації понад 600 організацій у всьому світі.
Профіль кіберзлочинця: подвійна роль EncryptHub
Згідно з дослідженням шведської компанії Outpost24 KrakenLabs, EncryptHub представляє унікальний випадок у сфері кібербезпеки. Цей індивід поєднує злочинну діяльність з легітимною роботою в галузі інформаційної безпеки, виступаючи одночасно як хакер і баг-хантер.
Парадоксально, але EncryptHub нещодавно відповідально повідомив Microsoft про дві zero-day уразливості в Windows, що демонструє його глибокі технічні знання та двоїсту природу діяльності.
Тренди безпеки ігрових екосистем
Інцидент з Chemia став уже третім випадком виявлення малварі у Steam протягом поточного року. Раніше з платформи були видалені заражені ігри Sniper: Phantom’s Resolution та PirateFi, що вказує на зростаючу загрозу для екосистеми цифрового розповсюдження ігор.
Характерно, що всі скомпрометовані проекти перебували у статусі раннього доступу, що може свідчити про цілеспрямований вибір менш захищених цілей зловмисниками.
Цей інцидент підкреслює критичну важливість багаторівневого захисту як для розробників ігор, так і для самих геймерів. Користувачам рекомендується використовувати сучасні антивірусні рішення, регулярно оновлювати системи безпеки та проявляти обережність навіть при завантаженні контенту з офіційних платформ. Ігрова індустрія повинна посилити процедури верифікації та моніторингу для запобігання подібним інцидентам у майбутньому.
