Downfall, фенско разширение за популярната индийска стратегическа игра Slay the Spire, е било пробито на Коледа, за да се прокара зловреден софтуер Epsilon за кражба на информация чрез системата за актуализации на Steam.

Както казва разработчикът Майкъл Мейхем, компрометираният пакет е предварително опакована самостоятелна модифицирана версия на оригиналната игра, а не мод, инсталиран чрез Steam Workshop.

„Едно от нашите устройства беше поразено от зловреден софтуер, който не беше маркиран или блокиран от защитата, която бяхме пуснали на него. Доколкото ми е известно в момента, това не е бил зловреден софтуер за кражба на пароли, тъй като 2FA не е задействал или спрял това, а от компрометираните акаунти всички са били под различни имейл адреси (и нито един от самите тези адреси не е бил откраднат)“, каза Mayhem, като заяви, че „не желае да твърди нищо с абсолютна сигурност“, докато не получи професионална оценка.

„Това ни наведе на мисълта, че вместо това е било отвличане на токени (както ни подсказа специалист по сигурността), създадено специално за отвличане на Steam и използването му за качване и Discord, за да се предотврати предупреждаването на потребителите, но това в момента е само предположение.“

Нападателите са компрометирали акаунтите в Steam, Discord и електронната поща на един от разработчиците на Downfall, което им е позволило да получат контрол над акаунта в Steam на мода.

„Прозорецът за пробив е бил приблизително 13:30-14:30 ч. на 25.12.2012 г. (1830-1930 UTC+0). Ако сте стартирали Downfall на 25.12. по време на прозореца за пробив и сте получили изскачащ прозорец за инсталиране на библиотеката Unity, моля, продължете да четете. Възможно е също да сте изложени на риск. Пробивът в сигурността е позволил на злонамерено качване да замени играта Downfall в пакет“, се казва в изявление на Mayhem, публикувано в сряда.

След като бъде инсталиран на компрометиран компютър, зловредният софтуер ще събира бисквитки и запазени пароли и кредитни карти от уеб браузъри (Google Chrome, Yandex, Microsoft Edge, Mozilla Firefox, Brave, Vivaldi), както и информация за Steam и Discord.

Той също така ще търси документи, съдържащи „password“ в имената на файловете, и още идентификационни данни, включително локалния вход в Windows и Telegram.

Зловреден софтуер Epsilon събира данни за достъп

Удостоверения за събиране на данни за зловреден софтуер Epsilon (Any.run)
На потребителите на Downfall се препоръчва да сменят всички важни пароли, особено тези за акаунти, които не са защитени с 2FA (двуфакторна идентификация).

Потребителите, които са получили злонамерената актуализация, съобщават, че зловредният софтуер се инсталира като приложение Windows Boot Manager в папката AppData или като UnityLibManager в папката /AppData/Roaming.

Epsilon Stealer е зловреден софтуер за кражба на информация, продаван чрез Telegram и Discord на други  заплахи. Обикновено се използва за таргетиране на геймъри в Discord, като ги подмамва да инсталират зловредния софтуер под претекст, че тестват нова игра за бъгове в замяна на плащане.

След като играта бъде инсталирана обаче, в нея се разгръща и зловредният софтуер, който работи във фонов режим и краде паролите, данните за кредитните карти и бисквитките за удостоверяване на потребителя.

Откраднатата информация се използва от  заплахата за пробив в други акаунти или се продава на пазарите в тъмната мрежа.

Според данни на VirusTotal е вероятно извършителят на заплахата, който стои зад тази атака, да се е насочил и към други игри и разработчици на игри.

VirusTotal Зловреден софтуер Downfall

Други файлове, съдържащи същия зловреден софтуер за кражба на информация (VirusTotal)

Steam затяга сигурността

През октомври Valve обяви, че вече изисква проверки за сигурност чрез SMS от разработчиците на игри, които пускат актуализация в клона за пускане по подразбиране в Steam.

Решението е взето в отговор на нарастващия брой компрометирани акаунти в Steamworks, които от края на август се използват за качване на зловредни компилации на игри, за да заразяват играчите със зловреден софтуер.

„Като част от актуализация на сигурността всеки Steamworks акаунт, който задава билдове на живо в клона по подразбиране/публичен клон на пуснато приложение, ще трябва да има телефонен номер, свързан с акаунта му, за да може Steam да ви изпрати SMS с код за потвърждение, преди да продължите“, заяви Valve през октомври.

„Същото ще важи и за всеки Steamworks акаунт, който трябва да добави нови потребители. Тази промяна ще влезе в сила на 24 октомври 2023 г., така че не забравяйте да добавите телефонен номер към акаунта си сега. Планираме да добавим това изискване и за други действия в Steamworks в бъдеще“.