هکرها با کشتن بازی در استیم، بدافزاری برای سرقت رمزهای عبور گیمرها کاشتند!

هفته گذشته، شرکت Valve بازی‌ای را از فروشگاه آنلاین Steam حذف کرد زیرا این محصول آلوده به بدافزار بود. این اقدام نشان‌دهنده توجه بیشتر به امنیت کاربران و تلاش برای جلوگیری از نفوذ بدافزارها به سیستم‌های مختلف است. در این مقاله به بررسی جزئیات این حادثه و نوع بدافزار مرتبط با آن خواهیم پرداخت.

پس از حذف بازی PirateFI، پژوهشگران امنیتی، بدافزار را تحلیل کردند و متوجه شدند که کسانی که این بدافزار را قرار داده‌اند، یک بازی ویدئویی موجود را تغییر داده‌اند تا گیمرها را به نصب یک برنامه سرقت اطلاعات به نام Vidar فریب دهند.

تحلیل‌های Marius Genheimer، پژوهشگر تیم Falcon، نشان می‌دهد که بر اساس سرورهای فرمان و کنترل مرتبط با این بدافزار و پیکربندی‌اش، “ما مشکوک هستیم که PirateFI تنها یکی از چندین تاکتیک استفاده شده برای توزیع انبوه بار Vidar بوده است.”

Genheimer افزود: “به شدت محتمل است که این بازی هرگز یک بازی واقعی و قانونی نبوده و پس از انتشار اولیه تغییر یافته است.”

به عبارت دیگر، PirateFI به منظور انتشار بدافزار طراحی شده بود.

تحقیقات نشان می‌دهند که PirateFI با تغییر یک الگوی بازی موجود به نام Easy Survival RPG ساخته شده است. این برنامه به عنوان یک اپلیکیشن ساخت بازی معرفی می‌شود که “همه چیزهایی که برای توسعه بازی تک‌نفره یا چندنفره خود نیاز دارید را فراهم می‌کند.” هزینه مجوز این سازنده بازی بین ۳۹۹ تا ۱۱۰۹ دلار است.

این امر توضیح می‌دهد که چگونه هکرها توانستند با تلاش کم، یک بازی ویدئویی کاربردی را با بدافزار خود حمل کنند.

بر اساس گفته‌های Genheimer، بدافزار سرقت اطلاعات Vidar قادر است انواع مختلفی از داده‌ها را از رایانه‌های آلوده سرقت و استخراج کند، از جمله:

• رمزهای عبور از ویژگی پرکردن خودکار مرورگر وب
• کوکی‌های نشست که می‌توانند برای ورود به حساب به عنوان یک شخص بدون نیاز به رمز عبور استفاده شوند
• تاریخچه مرورگر وب
• جزئیات کیف پول‌های ارز دیجیتال
• عکس‌های صفحه
• کدهای دو مرحله‌ای از تولیدکنندگان توکن خاص
• سایر فایل‌ها در رایانه شخصی

بدافزار Vidar در چندین کمپین هکری به کار رفته است، از جمله تلاش‌هایی برای سرقت اعتبارنامه‌های هتل Booking.com، دیگر کمپین‌ها با هدف اجرای باج‌افزار و تلاش دیگری برای قرار دادن تبلیغات مخرب در نتایج جستجوی گوگل. در سال ۲۰۲۴، مرکز هماهنگی امنیت سایبری بخش بهداشت (HC3) گزارش داد که Vidar که برای اولین بار در سال ۲۰۱۸ کشف شد، “به یکی از موفق‌ترین سرقت‌کننده‌های اطلاعات تبدیل شده است.”

سرقت‌کننده‌های اطلاعات نوعی از بدافزار هستند که به منظور سرقت اطلاعات و داده‌ها از رایانه قربانی طراحی شده‌اند. این نوع بدافزارها معمولاً در مدل بدافزار به عنوان خدمت (MaaS) فروخته می‌شوند، به این معنی که حتی هکرهای کم‌تجربه هم می‌توانند این بدافزارها را خریداری و استفاده کنند. این موضوع شناسایی اینکه چه کسی پشت PirateFI بوده را “بسیار دشوار” می‌سازد، زیرا Vidar “به طور گسترده توسط بسیاری از مجرمان سایبری مورد استفاده قرار گرفته است.”

Genheimer گفت که آنها چندین نمونه از بدافزار موجود در PirateFI را تحلیل کرده‌اند، یکی از آن‌ها در مخزن آنلاین بدافزار VirusTotal پیدا شده است که ظاهراً توسط یک گیمر در روسیه بارگذاری شده بود؛ دیگری از طریق SteamDB شناسایی شده و نمونه دیگری نیز در پایگاه داده اطلاعات تهدیدات که به آن دسترسی دارند، پیدا شده است. تمام این سه نمونه بدافزار از نظر عملکرد مشابه هستند.

Valve به درخواست TechCrunch برای اظهارنظر پاسخ نداد.

Seaworth Interactive، توسعه‌دهندگان ادعایی PirateFI، هیچ حضور آنلاین مشخصی ندارند. تا هفته گذشته، این بازی یک حساب کاربری در X داشت که اکنون حذف شده است. این حساب شامل لینکی به بازی در Steam بود.

مالکین این حساب به درخواست گفتگو از طریق پیام مستقیم پیش از حذف آن پاسخ ندادند.