Το Downfall, μια επέκταση θαυμαστών για το δημοφιλές indie παιχνίδι στρατηγικής Slay the Spire, παραβιάστηκε την ημέρα των Χριστουγέννων για να προωθήσει το κακόβουλο
λογισμικό
κλοπής πληροφοριών Epsilon χρησιμοποιώντας το σύστημα ενημέρωσης Steam.
Όπως είπε ο προγραμματιστής
Michael
Mayhem στο BleepingComputer, το
συμβιβασμένο πακέτο
είναι η προσυσκευασμένη αυτόνομη τροποποιημένη έκδοση του αρχικού παιχνιδιού και όχι ένα mod που έχει εγκατασταθεί μέσω του Steam Workshop.
“Μία από τις συσκευές μας χτυπήθηκε με κακόβουλο λογισμικό που δεν επισημάνθηκε ή αποκλείστηκε από την ασφάλεια που εκτελούσαμε σε αυτήν. Από όσο γνωρίζω επί του παρόντος, δεν ήταν κακόβουλο λογισμικό κλοπής κωδικού πρόσβασης καθώς το 2FA δεν το ενεργοποίησε ούτε το σταμάτησε, και από τους λογαριασμούς που παραβιάστηκαν, όλοι βρίσκονταν σε διαφορετικές διευθύνσεις e-mail (και καμία από αυτές τις διευθύνσεις δεν κλάπηκε από μόνη της),» είπε ο Mayhem στο BleepingComputer, λέγοντας ότι «είναι απρόθυμος να δηλώσει οτιδήποτε με απόλυτη βεβαιότητα» μέχρι να λάβει επαγγελματική αξιολόγηση.
«Αυτό μας έκανε να πιστέψουμε ότι ήταν μια συμβολική αεροπειρατεία (όπως μας προτείνει ένας επαγγελματίας ασφαλείας), που σχεδιάστηκε ειδικά για να κλέβει το Steam και να το χρησιμοποιήσει για να ανεβάσει και το Discord για να αποτρέψει την προειδοποίηση των χρηστών, αλλά αυτή τη στιγμή είναι απλώς εικασίες. “
Οι επιτιθέμενοι
σε κίνδυνο
ένας από τους λογαριασμούς Steam και Discord των προγραμματιστών του Downfall, επιτρέποντάς τους να αποκτήσουν τον έλεγχο του λογαριασμού Steam του mod.
“Το παράθυρο παραβίασης ήταν περίπου 1:30 μ.μ.-2:30 μ.μ. ανατολικά (1830-1930 UTC+0) στις 25/12. Εάν ξεκινήσατε το Downfall στις 25/12 κατά τη διάρκεια του παραθύρου παραβίασης και εμφανίστηκε ένα αναδυόμενο παράθυρο εγκατάστασης βιβλιοθήκης Unity, παρακαλώ συνεχίστε να διαβάζετε. Μπορεί επίσης να κινδυνεύετε. Η παραβίαση ασφαλείας επέτρεψε μια κακόβουλη μεταφόρτωση να αντικαταστήσει το πακέτο Downfall,” Mayhem
είπε
σε δήλωση που δημοσιεύθηκε την Τετάρτη.
Μόλις εγκατασταθεί σε έναν παραβιασμένο υπολογιστή, το κακόβουλο λογισμικό θα συλλέγει cookies και αποθηκευμένους κωδικούς πρόσβασης και πιστωτικές κάρτες από προγράμματα περιήγησης ιστού (Google Chrome, Yandex, Microsoft Edge,
Mozilla
Firefox, Brave, Vivaldi), καθώς και πληροφορίες Steam και Discord.
Θα αναζητήσει επίσης έγγραφα που περιέχουν «κωδικό πρόσβασης» στα ονόματα αρχείων και για περισσότερα διαπιστευτήρια, συμπεριλαμβανομένης της τοπικής σύνδεσης στα Windows και του
Telegram
.
Διαπιστευτήρια συλλογής κακόβουλου λογισμικού Epsilon (
Any.run
)
Συνιστάται στους χρήστες Downfall να αλλάξουν όλους τους σημαντικούς κωδικούς πρόσβασης, ειδικά αυτούς για λογαριασμούς που δεν προστατεύονται από 2FA (επαλήθευση ταυτότητας 2 παραγόντων).
Οι χρήστες που έλαβαν την κακόβουλη ενημέρωση ανέφεραν ότι το κακόβουλο λογισμικό θα εγκατασταθεί ως εφαρμογή Windows Boot Manager στο φάκελο AppData ή ως UnityLibManager στο φάκελο /AppData/Roaming.
Epsilon Stealer
είναι ένα κακόβουλο λογισμικό κλοπής πληροφοριών που πωλείται μέσω Telegram και Discord σε άλλους παράγοντες απειλών. Χρησιμοποιείται συνήθως για τη στόχευση παικτών στο Discord εξαπατώντας τους να εγκαταστήσουν το κακόβουλο λογισμικό με το πρόσχημα της δοκιμής ενός νέου παιχνιδιού για σφάλματα με αντάλλαγμα την πληρωμή.
Ωστόσο, μετά την εγκατάσταση του παιχνιδιού, αναπτύσσει επίσης το κακόβουλο λογισμικό που εκτελείται στο παρασκήνιο και κλέβει τους κωδικούς πρόσβασης, τα στοιχεία της πιστωτικής κάρτας και τα cookie ελέγχου ταυτότητας του χρήστη.
Οι κλεμμένες πληροφορίες είτε χρησιμοποιούνται από τους φορείς απειλών για να παραβιάσουν περαιτέρω λογαριασμούς είτε πωλούνται σε αγορές σκοτεινού Ιστού.
Σύμφωνα με
Δεδομένα VirusTotal
είναι πιθανό ότι ο παράγοντας απειλής πίσω από αυτήν την επίθεση έχει στοχεύσει και άλλους προγραμματιστές παιχνιδιών.
Άλλα αρχεία που περιέχουν το ίδιο κακόβουλο λογισμικό κλοπής πληροφοριών (VirusTotal)
Ο ατμός ενισχύει την ασφάλεια
Τον Οκτώβριο, η Valve ανακοίνωσε ότι απαιτεί πλέον ελέγχους ασφαλείας που βασίζονται σε SMS από τους προγραμματιστές παιχνιδιών που προωθούν μια ενημέρωση στον προεπιλεγμένο κλάδο κυκλοφορίας στο Steam.
Η απόφαση ελήφθη ως απάντηση στον αυξανόμενο αριθμό παραβιασμένων λογαριασμών Steamworks που χρησιμοποιούνται για τη μεταφόρτωση κακόβουλων εκδόσεων παιχνιδιών για τη μόλυνση των παικτών με κακόβουλο λογισμικό από τα τέλη Αυγούστου.
“Στο πλαίσιο μιας ενημέρωσης ασφαλείας, οποιαδήποτε ρύθμιση λογαριασμού Steamworks δημιουργείται ζωντανά στο προεπιλεγμένο/δημόσιο υποκατάστημα μιας εφαρμογής που έχει κυκλοφορήσει θα πρέπει να έχει έναν αριθμό τηλεφώνου συσχετισμένο με τον λογαριασμό τους, ώστε το Steam να μπορεί να σας στείλει έναν κωδικό επιβεβαίωσης πριν συνεχίσει”, δήλωσε η Valve. τον Οκτώβρη.
“Το ίδιο θα ισχύει για οποιονδήποτε λογαριασμό Steamworks που χρειάζεται να προσθέσει νέους χρήστες. Αυτή η αλλαγή θα γίνει ζωντανή στις 24 Οκτωβρίου 2023, επομένως φροντίστε να προσθέσετε έναν αριθμό τηλεφώνου στον λογαριασμό σας τώρα. Σχεδιάζουμε επίσης να προσθέσουμε αυτήν την απαίτηση για άλλους Δράσεις Steamworks στο μέλλον».
Ενημέρωση 28/12/23: Ο
λογαριασμός
email του προγραμματιστή δεν παραβιάστηκε.
VIA:
bleepingcomputer.com
