Chemia på Steam skjuler malware i spilopdateringer

Et mystisk Steam-spil kaldet Chemia bruges til stille og roligt at distribuere malware gennem sine opdateringer, siger forskere. Spillet, der kun er tilgængeligt via anmodningsbaseret tidlig adgang, er forbundet med en kendt hackergruppe, og det er nu den tredje kendte hændelse med malware, der kommer ind på platformen. Med svage skærmbilleder, ingen offentlig tilstedeværelse af udviklere og en skjult eksekverbar fil begravet i sine filer, ligner Chemia mere lokkemad end et indie-overlevelsesspil. Og selvom Valve ikke har reageret offentligt endnu, viser den måde, denne og tidligere hændelser har udspillet sig på, at Steams nuværende forsvar ikke holder ondsindede spil væk fra butikken.

Cybersikkerhedsforskere hos Prodaft siger, at Chemia-situationen involverer mere end blot lyssky udviklere. Ifølge deres rapport bruges spillet af en hackergruppe kendt som Larva-208 (også kaldet EncryptHub). Gruppen har angiveligt injiceret to kendte typer malware i spillet: Fickle Stealer og HijackLoader. Disse udløses, når brugerne downloader og starter spillet, og kører parallelt med selve softwaren. Og selvom Chemia er låst bag et anmodningsbaseret adgangssystem, er det stadig online på Steam.

"Når brugere downloader og starter spillet, kører malwaren sammen med den legitime applikation," skrev Prodaft.

Det citat, der blev lagt ud på Prodafts GitHub, kom sammen med en gennemgang af, hvad der rent faktisk sker i spillets filer. Forskerne siger, at hackerne den 22. juli tilføjede en fil kaldet

CVKRUTNP.exe

i Chemias build. Denne fil fungerer som HijackLoader, og dens opgave er lydløst at indføre endnu mere malware, såsom Vidar, der er designet til at stjæle personlige oplysninger og browserdata fra inficerede brugere.

Chemia er angiveligt et værk af "Aether Forge Studios", en udvikler, der ikke har en hjemmeside eller nogen reel online tilstedeværelse. Selve Steam-listen er vag og beskriver Chemia som et survival crafting-spil. Men de eneste tilgængelige visuelle elementer viser generiske baggrunde med lav indsats – ingen karakterer, ingen brugergrænseflade, intet gameplay. Den nuværende teori er, at spillet blev sat op som en trojansk hest, der tilbød det absolut nødvendige minimum for at virke ægte og blive listet på Steam.

Det er ikke første gang, hackere har udnyttet Steams distributionssystem. I marts involverede en anden hændelse et kommende FPS kaldet Sniper: Phantom's Resolution. I det tilfælde installerede hackeren ikke malware direkte i Steam-buildet. I stedet linkede spillets side til en ekstern hjemmeside med en falsk demo. Det domæne

sierrasixstudios.dev

blev vist på den officielle side, men de rigtige udviklere havde ikke købt det endnu. En svindler registrerede domænet, uploadede malware og narrede folk til at downloade det via fildelingslinks.

Det faktiske studie bag Sniper: Phantom's Resolution bekræftede, at de var havnet midt i det. En repræsentant ved navn Andrew forklarede fejlen i et Reddit-opslag og sagde, at holdet havde planlagt at bygge en rigtig hjemmeside på et tidspunkt, men ikke forventede, at nogen ville snuppe navnet så hurtigt. Da de ondsindede filer blev opdaget, fjernede Valve Steam-siden.

Tidligere i år slap et andet spil kaldet PirateFi også gennem Valves sikkerhedsforanstaltninger. Det var et gratis spil, der blev uploadet direkte til Steam, og det indeholdt også malware. Hackeren promoverede det på Telegram ved hjælp af botbeskeder og endda falske jobtilbud på "moderator"-roller for at lokke folk til. Det er uklart, hvordan PirateFi kom forbi Steams backend-tjek, og Valve gav ikke offentligt oplysninger. Men spillet blev trukket tilbage, da det blev markeret.

Forskellen med Chemia er, at det er et mere direkte forsøg. Malwaren er en del af selve spillet og distribueres via Steams officielle leveringssystem. Det betyder, at hackerne ikke behøvede en falsk hjemmeside eller eksterne links – de publicerede bare en opdatering. Tilstedeværelsen af backup-malware-downloaderen i filerne viser, hvordan denne opsætning fungerer: et enkelt klik installerer spillet, hvilket installerer nyttelasten, som bringer endnu mere malware ind.

Indtil videre har Valve ikke offentliggjort Chemia-sagen. Spillet er fortsat kun tilgængeligt for anmodninger, så det er sandsynligt, at meget få brugere har installeret det. Men den begrænsede rækkevidde ændrer ikke ved, at dette er den tredje kendte malware-relaterede hændelse, der involverer Steam, på mindre end seks måneder.

Alle tre angreb fulgte lidt forskellige taktikker. PirateFi brugte interne uploads, Sniper udnyttede et eksternt domænelink, og Chemia sender inficerede opdateringer direkte gennem platformen. Denne variation er et problem for Valve, da det viser, at angribere tester forskellige måder at slippe forbi platformsikkerheden.

Prodafts offentlige oversigt indeholder en komplet liste over filnavne, domæner og malwaresignaturer, der er knyttet til Chemia. Disse indikatorer for kompromittering er beregnet til at hjælpe antivirusleverandører og IT-administratorer med at markere infektioner. For gennemsnitlige brugere er der dog ikke meget at gøre udover at undgå ukendte spil, især dem, der kræver særlige anmodninger for at få adgang, eller som kommer fra udviklere uden online tilstedeværelse.

Prodaft oplyste ikke, hvor længe Chemia havde været på listen, før malwaren blev tilføjet. De første tegn på ulovligt spil dukkede op med filen " CVKRUTNP.exe" den 22. juli, men det var muligvis ikke spillets første opdatering. Hvis nogen installerede spillet tidligere, er det uklart, om de også modtog tidligere versioner af malwaren. Læs også om, hvordan Steam slår ned på voksenspil med en ny vag regel, som vi har dækket i den forrige tekst.

Kerneproblemet er tillid. Når et spil dukker op på Steam, antager folk, at det har bestået en grundlæggende kontrol. Og Valves nuværende system fanger tydeligvis ikke alt. For nuværende er det eneste rigtige filter brugerrapporter og tredjepartsundersøgelser som Prodafts. Efterhånden som angribere bliver mere kreative, kan denne kløft blive større.