Търсене
Close this search box.

Модификация в Steam е пробита, за да се прокара зловреден софтуер за кражба на пароли

Downfall, фенско разширение за популярната индийска стратегическа игра Slay the Spire, е било пробито на Коледа, за да се прокара зловреден софтуер Epsilon за кражба на информация чрез системата за актуализации на Steam.

Както казва разработчикът Майкъл Мейхем, компрометираният пакет е предварително опакована самостоятелна модифицирана версия на оригиналната игра, а не мод, инсталиран чрез Steam Workshop.

„Едно от нашите устройства беше поразено от зловреден софтуер, който не беше маркиран или блокиран от защитата, която бяхме пуснали на него. Доколкото ми е известно в момента, това не е бил зловреден софтуер за кражба на пароли, тъй като 2FA не е задействал или спрял това, а от компрометираните акаунти всички са били под различни имейл адреси (и нито един от самите тези адреси не е бил откраднат)“, каза Mayhem, като заяви, че „не желае да твърди нищо с абсолютна сигурност“, докато не получи професионална оценка.

„Това ни наведе на мисълта, че вместо това е било отвличане на токени (както ни подсказа специалист по сигурността), създадено специално за отвличане на Steam и използването му за качване и Discord, за да се предотврати предупреждаването на потребителите, но това в момента е само предположение.“

Нападателите са компрометирали акаунтите в Steam, Discord и електронната поща на един от разработчиците на Downfall, което им е позволило да получат контрол над акаунта в Steam на мода.

„Прозорецът за пробив е бил приблизително 13:30-14:30 ч. на 25.12.2012 г. (1830-1930 UTC+0). Ако сте стартирали Downfall на 25.12. по време на прозореца за пробив и сте получили изскачащ прозорец за инсталиране на библиотеката Unity, моля, продължете да четете. Възможно е също да сте изложени на риск. Пробивът в сигурността е позволил на злонамерено качване да замени играта Downfall в пакет“, се казва в изявление на Mayhem, публикувано в сряда.

След като бъде инсталиран на компрометиран компютър, зловредният софтуер ще събира бисквитки и запазени пароли и кредитни карти от уеб браузъри (Google Chrome, Yandex, Microsoft Edge, Mozilla Firefox, Brave, Vivaldi), както и информация за Steam и Discord.

Той също така ще търси документи, съдържащи „password“ в имената на файловете, и още идентификационни данни, включително локалния вход в Windows и Telegram.

Epsilon malware harvesting credentials

Зловреден софтуер Epsilon събира данни за достъп

Удостоверения за събиране на данни за зловреден софтуер Epsilon (Any.run)
На потребителите на Downfall се препоръчва да сменят всички важни пароли, особено тези за акаунти, които не са защитени с 2FA (двуфакторна идентификация).

Потребителите, които са получили злонамерената актуализация, съобщават, че зловредният софтуер се инсталира като приложение Windows Boot Manager в папката AppData или като UnityLibManager в папката /AppData/Roaming.

Epsilon Stealer е зловреден софтуер за кражба на информация, продаван чрез Telegram и Discord на други  заплахи. Обикновено се използва за таргетиране на геймъри в Discord, като ги подмамва да инсталират зловредния софтуер под претекст, че тестват нова игра за бъгове в замяна на плащане.

След като играта бъде инсталирана обаче, в нея се разгръща и зловредният софтуер, който работи във фонов режим и краде паролите, данните за кредитните карти и бисквитките за удостоверяване на потребителя.

Откраднатата информация се използва от  заплахата за пробив в други акаунти или се продава на пазарите в тъмната мрежа.

Според данни на VirusTotal е вероятно извършителят на заплахата, който стои зад тази атака, да се е насочил и към други игри и разработчици на игри.

VirusTotal Зловреден софтуер Downfall

VirusTotal Downfall malware
Други файлове, съдържащи същия зловреден софтуер за кражба на информация (VirusTotal)

Steam затяга сигурността

През октомври Valve обяви, че вече изисква проверки за сигурност чрез SMS от разработчиците на игри, които пускат актуализация в клона за пускане по подразбиране в Steam.

Решението е взето в отговор на нарастващия брой компрометирани акаунти в Steamworks, които от края на август се използват за качване на зловредни компилации на игри, за да заразяват играчите със зловреден софтуер.

„Като част от актуализация на сигурността всеки Steamworks акаунт, който задава билдове на живо в клона по подразбиране/публичен клон на пуснато приложение, ще трябва да има телефонен номер, свързан с акаунта му, за да може Steam да ви изпрати SMS с код за потвърждение, преди да продължите“, заяви Valve през октомври.

„Същото ще важи и за всеки Steamworks акаунт, който трябва да добави нови потребители. Тази промяна ще влезе в сила на 24 октомври 2023 г., така че не забравяйте да добавите телефонен номер към акаунта си сега. Планираме да добавим това изискване и за други действия в Steamworks в бъдеще“.

 

Източник: По материали от Интернет

Подобни публикации

18 април 2024

Вариант на LockBit 3.0 генерира персонализиран,...

Изследователите на Kaspersky са открили новия вариант, след като са...
18 април 2024

Групата "Sandworm" е основното звено за киберат...

Но дори и да се е фокусирала върху това, сложната група за заплахи ...
18 април 2024

Apple предупреждава потребителите в 150 държави...

В ново уведомление за заплахи Apple посочва доставчика на Pegasus N...
17 април 2024

Приложението Copilot на Windows Server е добаве...

Microsoft твърди, че новото приложение Copilot, погрешно добавено в...
17 април 2024

Последни тенденции при зловредния софтуер

В днешната дигитална ера киберсигурността се превърна в постоянна г...
17 април 2024

FTC налага глоби на стартъпа за психично здраве...

Федералната търговска комисия на САЩ (FTC) разпореди на компанията ...
17 април 2024

BMC на Intel и Lenovo съдържат непоправен недос...

Нови открития на Binarly показват, че пропуск в сигурността, засяга...
17 април 2024

Пробивът на паролите в Sisense предизвиква "зло...

Експертите се опасяват, че компрометирането на Sisense, който разпо...
16 април 2024

UnitedHealth Group отчете 872 млн. щатски долар...

UnitedHealth Group отчете 872 млн. щатски долара въздействие върху ...
Бъдете социални
Още по темата
17/04/2024

Пробивът на паролите в Sise...

Експертите се опасяват, че компрометирането на...
16/04/2024

UnitedHealth Group отчете 8...

UnitedHealth Group отчете 872 млн. щатски...
15/04/2024

За проблемите с работната с...

  За проблемите с работната сила...
Последно добавени
18/04/2024

Вариант на LockBit 3.0 гене...

Изследователите на Kaspersky са открили новия...
18/04/2024

Групата "Sandworm" е основн...

Но дори и да се е...
18/04/2024

Apple предупреждава потреби...

В ново уведомление за заплахи Apple...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!