Solitamente i malware vengono nascosti nelle versioni pirata distribuite tramite fonti non ufficiali. Stavolta era presente in un gioco pubblicato su Steam. Un cybercriminale, noto come EncryptHub, ha installato tre malware nell’eseguibile di Chemia. Valve non ha risposto alla richiesta di informazioni, ma il gioco è stato rimosso dalla sua popolare piattaforma.
Un loader e due infostealer
Chemia, definito un survival crafting game dallo sviluppatore Aether Forge Studios, era disponibile su Steam tramite il programma Early Access. Gli utenti potevano quindi accedere in anticipo al gioco prima del rilascio pubblico. Gli esperti di Prodaft hanno scoperto che EncryptHub (noto anche come Larva-208) ha aggiunto il file CVKRUTNP.exe, ovvero HijackLoader.
Quest’ultimo stabilisce la persistenza sul computer delle ignare vittime (esecuzione automatica ad ogni avvio) e scarica Vidar, uno degli infostealer più noti. Vidar riceve l’indirizzo IP del server C2 (command and control) da un canale Telegram.
EcryptHub ha successivamente aggiunto il file cclib.dll, ovvero il downloader di Fickle Stealer. Quest’ultimo raccoglie diversi dati dai browser, tra cui credenziali, cookie e informazioni sui wallet di criptovalute. I dati vengono quindi inviati al server controllato dal cybercriminale. Come detto, il gioco è stato rimosso da Steam.
Il malware viene eseguito in background e non impatta sulle prestazioni del gioco, quindi gli utenti non si accorgono di nulla. Non è chiaro come il cybercriminale sia riuscito a caricare i file su Steam. Bleeping Computer sospetta un aiuto dall’interno (insider). EcryptHub è noto per la sua “doppia vita”. Sfrutta le vulnerabilità per eseguire attacchi informatici, ma segnala anche le vulnerabilità alle software house, come nel caso di Windows.