Геймър, който търси финансовa подкрепа за лечението си от рак, загуби над $32,000, след като свали от Steam „верифицирана“ игра на име BlockBlasters, която съдържала криптодрейнър.

Как започна всичко

BlockBlasters е 2D платформър, публикуван от Genesis Interactive и достъпен в Steam от 30 юли до 21 септември. Играта била безопасна до 30 август, когато в нея е добавен злонамерен компонент за кражба на криптовалута. Заглавието изглеждало напълно легитимно – безплатна игра със стотици „много положителни“ ревюта и ретро стил.

Зловредният код бе разкрит по време на благотворителен стрийм на латвийския геймър Раиво Плавниекс (RastalandTV), който се опитвал да събере средства за лечение на четвърти стадий саркома. Малко след като инсталирал BlockBlasters, крипто портфейлът му бил източен.

„Животът ми беше спасен за 24 часа, докато някой не ми предложи да сваля проверена игра от @Steam,“ – написа Плавниекс в социалните мрежи.

Реакцията на общността

Пострадалият започна кампания в GoFundMe, която към момента е изпълнена на около 58%. Въпреки загубата, някои членове на крипто общността откликнаха – известният инфлуенсър Alex Becker дари $32,500, за да компенсира загубата.

Обхватът на атаката

Разследванията показват, че BlockBlasters е нанесъл щети далеч отвъд единичния случай:

• Според криптоизследователя ZachXBT, жертвите са 261 акаунта в Steam с обща загуба от $150,000.

• Групата VXUnderground твърди, че броят е по-голям – 478 жертви, и публикува списък с потребителски имена, приканвайки собствениците им да сменят паролите си.

Съобщава се, че нападателите са търсили конкретни жертви, идентифицирани в Twitter като хора, които управляват значителни криптовалути, и са им изпращали покани да опитат играта.

Технически подробности

Екипи от изследователи анализираха атаката и откриха:

• Dropper batch скрипт, който проверява средата, краде Steam идентификационни данни и IP адреси, след което ги качва към C2 сървър.

• Python backdoor и StealC payload, документирани от изследователя Карстен Хан (GDATA).

• Груба грешка в оперативната сигурност – нападателите оставили достъпни Telegram бот кодове и токени.

Има непотвърдени данни, че извършителят е аржентински имигрант, живеещ в Маями.

Valve и предишни случаи

Към момента Valve не е предоставила официален коментар за случая или за реакцията си след първите сигнали. Това не е изолиран инцидент – през годината в Steam вече имаше подобни кампании със заразени игри като Chemia, Sniper: Phantom’s Resolution и PirateFi.

Какво да направят потребителите

• Ако сте инсталирали BlockBlasters, незабавно сменете паролите за Steam.

• Преместете дигиталните си активи в нови крипто портфейли.

• Бъдете предпазливи към игри в Steam с малко сваляния, ограничени ревюта или „бета“ статус.