На платформе Steam вновь зафиксирована серьезная угроза информационной безопасности, мишенью стала ранняя версия игры Chemia от студии Aether Forge Studios. По данным исследователей из Prodaft, злоумышленник под ником EncryptHub, также известный как LARVA-208, взломал игру и внедрил в неё сразу два вредоносных файла. Это уже третий подобный инцидент в 2025 году, что вызывает серьезные опасения относительно безопасности ранних релизов в Steam.
Описание
Первое заражение произошло 22 июля, когда в исполняемый файл игры был встроен CVKRUTNP.exe - так называемый HijackLoader. Этот зловред закрепляется в системе и загружает дополнительный вредоносный код, в данном случае - Vidar (v9d9d.exe). Примечательно, что Vidar использует Telegram-канал для получения адреса командного сервера (C2), что является нестандартным решением для подобных атак. Всего через три часа после первого взлома в игру добавили второй вредонос - Fickle Stealer, который распространяется через DLL-файл cclib.dll.
Fickle Stealer активируется через PowerShell-скрипт worker.ps1, загружая основной вредонос с подозрительного домена soft-gets[.]com. Этот стилер собирает конфиденциальные данные пользователей: логины, пароли, куки, автозаполнение форм в браузерах и даже информацию о криптокошельках. При этом игра продолжает работать в штатном режиме, не вызывая подозрений у игроков, что делает атаку особенно опасной.
Как отмечают эксперты Prodaft, в данном случае злоумышленники использовали не классические методы обмана, а социальную инженерию, основанную на доверии к самой платформе Steam. Пользователи, скачивающие и запускающие игру, могут даже не подозревать, что участвуют в бесплатном тестировании, а на самом деле устанавливают троянские программы.
Пока остается неизвестным, как именно EncryptHub получил доступ к проекту. Возможны несколько сценариев: утечка данных, взлом аккаунта разработчика или даже участие инсайдера. Сама студия Aether Forge Studios до сих пор не прокомментировала ситуацию ни в Steam, ни в соцсетях, что добавляет неопределенности.
Игра Chemia по-прежнему доступна для скачивания, и пока неясно, удалили ли разработчики или Valve вредоносный код из текущей версии. До официального заявления от Steam или авторов игры крайне не рекомендуется её устанавливать. Опасность заключается не только в самом факте заражения, но и в том, что подобные случаи становятся системной проблемой.
Ситуация с Chemia в очередной раз подчеркивает необходимость более жесткого контроля за контентом, публикуемым на цифровых платформах. Пользователям, увлекающимся тестированием ранних версий игр, стоит проявлять особую бдительность и проверять файлы перед запуском. Steam, в свою очередь, должен усилить меры безопасности, чтобы предотвратить подобные инциденты в будущем.
Индикаторы компрометации
Domains
- dev.ip.organica.tv
- reaitek.com
- safesurf.fastdomain-uoemathhvq.workers.dev
- soft-gets.com
URLs
- https://soft-gets.com/payload/worker.ps1
- https://t.me/iry2am
SHA256
- 12935315254175719cbbaad0b213204ddebd4100ffc551d54f8cf39ced1be227
- 2cd8c0e75cf76381f06dfe465a542e52eefa713b0bea2557763e0c0c45b21481
- 6fb7fd9763d6b269793c80bbc03a1be358390781af4b698fba1591cb8dbb8825
- 9a733b2de84e2bf466287abd034b04b18c8c269535606e8f6403eee2a3b288c4
- ed076c27b420bfa66c251488b4121913fa461367a60c5fa32cee3953efcae32b
