Downfall, uma expansão de fãs do popular jogo de estratégia independente Slay the Spire, foi violada no dia de Natal para distribuir malware Epsilon ladrão de informações usando o sistema de atualização Steam.

Como o desenvolvedor Michael Mayhem disse ao BleepingComputer, o pacote comprometido é a versão modificada autônoma pré-empacotada do jogo original e não um mod instalado via Steam Workshop.

“Um de nossos dispositivos foi atingido por um malware que não foi sinalizado ou bloqueado pela segurança que tínhamos em execução nele. Pelo que eu sei atualmente, não era um malware para roubo de senha, pois o 2FA não acionou ou interrompeu isso, e das contas comprometidas, todas estavam em endereços de e-mail diferentes (e nenhum desses endereços foi roubado)”, disse Mayhem ao BleepingComputer, dizendo que está “relutante em declarar qualquer coisa com certeza absoluta” até obter uma avaliação profissional.

“Isso nos levou a acreditar que se tratava de um sequestro de token (como sugerido por um profissional de segurança), projetado especificamente para sequestrar o Steam e usá-lo para fazer upload e Discord para evitar alertar os usuários, mas isso no momento é apenas especulação. "

Os invasores comprometeram as contas Steam e Discord de um dos desenvolvedores do Downfall, permitindo-lhes obter o controle da conta Steam do mod.

"A janela de violação foi aproximadamente 13h30-14h30 Leste (1830-1930 UTC + 0) em 25/12. Se você lançou o Downfall em 25/12 durante a janela de violação e recebeu um pop-up do instalador da biblioteca Unity, continue lendo. Você também pode estar em risco. A violação de segurança permitiu um upload malicioso para substituir o pacote do jogo Downfall", disse Mayhem em um comunicado publicado na quarta-feira.

Uma vez instalado em um computador comprometido, o malware coletará cookies e senhas salvas e cartões de crédito de navegadores da web (Google Chrome, Yandex, Microsoft Edge, Mozilla Firefox, Brave, Vivaldi), bem como informações do Steam e Discord.

Ele também procurará documentos contendo ‘senha’ nos nomes dos arquivos e mais credenciais, incluindo o login local do Windows e do Telegram.

Credenciais de coleta de malware Epsilon (Any.run)

Os usuários do Downfall são aconselhados a alterar todas as senhas importantes, especialmente aquelas de contas não protegidas por 2FA (autenticação de dois fatores).

Os usuários que receberam a atualização maliciosa relataram que o malware se instalaria como um aplicativo Windows Boot Manager na pasta AppData ou como UnityLibManager na pasta /AppData/Roaming.

Epsilon Stealer é um malware de roubo de informações vendido via Telegram e Discord para outros agentes de ameaças. É comumente usado para atingir jogadores no Discord, enganando-os para que instalem o malware sob o pretexto de testar um novo jogo em busca de bugs em troca de pagamento.

No entanto, após a instalação do jogo, ele também implanta o malware que é executado em segundo plano e rouba as senhas, detalhes do cartão de crédito e cookies de autenticação do usuário.

As informações roubadas são usadas pelos agentes da ameaça para violar outras contas ou vendidas em mercados da dark web.

De acordo com os dados do VirusTotal, é provável que o autor da ameaça por trás deste ataque também tenha como alvo outros jogos e desenvolvedores de jogos.

Outros arquivos contendo o mesmo malware para roubo de informações (VirusTotal)

Steam reforça segurança

Em outubro, a Valve anunciou que agora exige verificações de segurança baseadas em SMS dos desenvolvedores de jogos que enviam uma atualização no branch de lançamento padrão no Steam.

A decisão foi tomada em resposta a um número crescente de contas comprometidas do Steamworks sendo usadas para fazer upload de versões maliciosas de jogos para infectar jogadores com malware a partir do final de agosto.

“Como parte de uma atualização de segurança, qualquer configuração de conta Steamworks criada na ramificação padrão/pública de um aplicativo lançado precisará ter um número de telefone associado à sua conta para que o Steam possa enviar uma mensagem de texto com um código de confirmação antes de continuar”, disse Valve. em outubro.

"O mesmo se aplica a qualquer conta Steamworks que precise adicionar novos usuários. Essa mudança entrará em vigor em 24 de outubro de 2023, portanto, adicione um número de telefone à sua conta agora. Também planejamos adicionar esse requisito para outras contas. Ações do Steamworks no futuro."

Atualização 28/12/23: A conta de e-mail do desenvolvedor não foi violada.

Veja a noticia completa em: https://www.bleepingcomputer.com/news/security/game-mod-on-steam-breached-to-push-password-stealing-malware/

Fonte: https://www.bleepingcomputer.com

 

Achou esse artigo interessante? Siga Samir News em Instagram, Facebook, Telegram, Twitter, App Boletim Tec e App Mr Robot Sticker para ler mais conteúdo exclusivo que postamos.

#samirnews #samir #news #boletimtec #mod #de #jogo #steam #violado #para #enviar #malware #para #roubo #de #senhas

Post a Comment