Търсене
Close this search box.

Downfall, фенско разширение за популярната индийска стратегическа игра Slay the Spire, е било пробито на Коледа, за да се прокара зловреден софтуер Epsilon за кражба на информация чрез системата за актуализации на Steam.

Както казва разработчикът Майкъл Мейхем, компрометираният пакет е предварително опакована самостоятелна модифицирана версия на оригиналната игра, а не мод, инсталиран чрез Steam Workshop.

„Едно от нашите устройства беше поразено от зловреден софтуер, който не беше маркиран или блокиран от защитата, която бяхме пуснали на него. Доколкото ми е известно в момента, това не е бил зловреден софтуер за кражба на пароли, тъй като 2FA не е задействал или спрял това, а от компрометираните акаунти всички са били под различни имейл адреси (и нито един от самите тези адреси не е бил откраднат)“, каза Mayhem, като заяви, че „не желае да твърди нищо с абсолютна сигурност“, докато не получи професионална оценка.

„Това ни наведе на мисълта, че вместо това е било отвличане на токени (както ни подсказа специалист по сигурността), създадено специално за отвличане на Steam и използването му за качване и Discord, за да се предотврати предупреждаването на потребителите, но това в момента е само предположение.“

Нападателите са компрометирали акаунтите в Steam, Discord и електронната поща на един от разработчиците на Downfall, което им е позволило да получат контрол над акаунта в Steam на мода.

„Прозорецът за пробив е бил приблизително 13:30-14:30 ч. на 25.12.2012 г. (1830-1930 UTC+0). Ако сте стартирали Downfall на 25.12. по време на прозореца за пробив и сте получили изскачащ прозорец за инсталиране на библиотеката Unity, моля, продължете да четете. Възможно е също да сте изложени на риск. Пробивът в сигурността е позволил на злонамерено качване да замени играта Downfall в пакет“, се казва в изявление на Mayhem, публикувано в сряда.

След като бъде инсталиран на компрометиран компютър, зловредният софтуер ще събира бисквитки и запазени пароли и кредитни карти от уеб браузъри (Google Chrome, Yandex, Microsoft Edge, Mozilla Firefox, Brave, Vivaldi), както и информация за Steam и Discord.

Той също така ще търси документи, съдържащи „password“ в имената на файловете, и още идентификационни данни, включително локалния вход в Windows и Telegram.

Epsilon malware harvesting credentials

Зловреден софтуер Epsilon събира данни за достъп

Удостоверения за събиране на данни за зловреден софтуер Epsilon (Any.run)
На потребителите на Downfall се препоръчва да сменят всички важни пароли, особено тези за акаунти, които не са защитени с 2FA (двуфакторна идентификация).

Потребителите, които са получили злонамерената актуализация, съобщават, че зловредният софтуер се инсталира като приложение Windows Boot Manager в папката AppData или като UnityLibManager в папката /AppData/Roaming.

Epsilon Stealer е зловреден софтуер за кражба на информация, продаван чрез Telegram и Discord на други  заплахи. Обикновено се използва за таргетиране на геймъри в Discord, като ги подмамва да инсталират зловредния софтуер под претекст, че тестват нова игра за бъгове в замяна на плащане.

След като играта бъде инсталирана обаче, в нея се разгръща и зловредният софтуер, който работи във фонов режим и краде паролите, данните за кредитните карти и бисквитките за удостоверяване на потребителя.

Откраднатата информация се използва от  заплахата за пробив в други акаунти или се продава на пазарите в тъмната мрежа.

Според данни на VirusTotal е вероятно извършителят на заплахата, който стои зад тази атака, да се е насочил и към други игри и разработчици на игри.

VirusTotal Зловреден софтуер Downfall

VirusTotal Downfall malware
Други файлове, съдържащи същия зловреден софтуер за кражба на информация (VirusTotal)

Steam затяга сигурността

През октомври Valve обяви, че вече изисква проверки за сигурност чрез SMS от разработчиците на игри, които пускат актуализация в клона за пускане по подразбиране в Steam.

Решението е взето в отговор на нарастващия брой компрометирани акаунти в Steamworks, които от края на август се използват за качване на зловредни компилации на игри, за да заразяват играчите със зловреден софтуер.

„Като част от актуализация на сигурността всеки Steamworks акаунт, който задава билдове на живо в клона по подразбиране/публичен клон на пуснато приложение, ще трябва да има телефонен номер, свързан с акаунта му, за да може Steam да ви изпрати SMS с код за потвърждение, преди да продължите“, заяви Valve през октомври.

„Същото ще важи и за всеки Steamworks акаунт, който трябва да добави нови потребители. Тази промяна ще влезе в сила на 24 октомври 2023 г., така че не забравяйте да добавите телефонен номер към акаунта си сега. Планираме да добавим това изискване и за други действия в Steamworks в бъдеще“.

 

Източник: По материали от Интернет

Подобни публикации

2 декември 2024

Две болници в Англия са засегнати от кибератаки...

Миналата седмица две болници на Националната здравна служба (NHS) в...
2 декември 2024

Арестуваха Михаил Павлович Матвеев

Руските власти съобщават, че са арестували Михаил Павлович Матвеев,...
2 декември 2024

6 ключови действия за спазване на разпоредбите ...

NIS2, PCI DSS, GDPR, HIPAA или CMMC… този дълъг списък от сък...
2 декември 2024

Микролайнерът на този стартъп обещава по-евтин ...

Годината беше трудна за стартиращите компании за въздушни таксита. ...
1 декември 2024

Evil Twin WiFi Attack: Ръководство "Стъпка по с...

Добре дошли в задълбоченото изследване на WiFi атаките на злите бли...
1 декември 2024

Клуб от италианската Серия А стана жертва на ра...

Футболен клуб „Болоня 1909“ потвърди, че е претърпял атака с цел от...
30 ноември 2024

Загубите от хакове и измами с криптовалути прод...

През ноември загубите на криптовалута от хакове и измами  отново на...
30 ноември 2024

Интервю с Anonymous

В случая с хакера, известен като SPYDIRBYTE, може да се каже, че зл...
Бъдете социални
Още по темата
26/11/2024

Коя стратегия за ъпдейтване...

Тъй като атаките стават все по-непредсказуеми...
26/11/2024

Марката BlackBasta Ransomwa...

Рускоезичната сцена с рансъмуер не е...
20/11/2024

Как да създадем сигурна пол...

Според последните насоки на NIST не...
Последно добавени
02/12/2024

Две болници в Англия са зас...

Миналата седмица две болници на Националната...
02/12/2024

Арестуваха Михаил Павлович ...

Руските власти съобщават, че са арестували...
02/12/2024

6 ключови действия за спазв...

NIS2, PCI DSS, GDPR, HIPAA или...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!