Vài ngày trước, tin tặc với tên gọi Larva-208 cũng đã chèn mã nhị phân độc hại vào các tệp trò chơi Chemia được lưu trữ trên Steam.
 |
Chemia là một trò chơi sinh tồn chế tạo của nhà phát triển ‘Aether Forge Studios’, hiện đang được cung cấp dưới dạng truy cập sớm trên Steam nhưng chưa có ngày phát hành công khai.
Theo công ty tình báo mối đe dọa Prodaft, vụ xâm nhập đầu tiên xảy ra vào ngày 22/7 vừa qua, khi EncryptHub thêm mã độc HijackLoader (CVKRUTNP.exe) vào các tệp trò chơi, mã độc này tồn tại dai dẳng trên thiết bị nạn nhân và sau đó tải xuống mã độc Vidar (v9d9d.exe). Các nhà nghiên cứu phát hiện ra rằng, mã độc đã lấy địa chỉ chỉ huy và kiểm soát (C2) từ một kênh Telegram.
Phần mềm độc hại thứ hai là Fickle Stealer, được thêm trò chơi vào Chemia chỉ ba giờ sau đó thông qua tệp DLL (là một loại file trong hệ điều hành Windows, chứa các hàm, dữ liệu và tài nguyên được chia sẻ bởi nhiều chương trình). Tệp này sử dụng công cụ dòng lệnh PowerShell (‘worker.ps1’) để lấy payload chính từ soft-gets[.]com.
Được biết, payload là phần dữ liệu thực sự được truyền đi trong một gói tin, không bao gồm các thông tin điều khiển hoặc siêu dữ liệu cần thiết cho việc truyền tải. Nó là phần dữ liệu quan trọng, mang thông tin mà người gửi muốn chuyển đến người nhận.
Fickle Stealer là một phần mềm đánh cắp thông tin, thu thập dữ liệu được lưu trữ trong trình duyệt web, chẳng hạn như thông tin đăng nhập tài khoản, thông tin tự động điền, cookie và dữ liệu ví tiền điện tử.
EncryptHub đã sử dụng cùng một phần mềm độc hại trong một chiến dịch lừa đảo trực tuyến và tấn công kỹ thuật xã hội quy mô lớn vào năm ngoái, xâm phạm hơn 600 tổ chức trên toàn thế giới.
Tác nhân đe dọa này là một trường hợp đặc biệt trong lĩnh vực tội phạm mạng vì chúng có liên quan đến cả việc khai thác trái phép các lỗ hổng zero-day của Windows và cả tiết lộ các lỗ hổng nghiêm trọng cho Microsoft. Tệp thực thi bị xâm phạm có vẻ hợp pháp khi được người dùng vào kho trò chơi Steam và tải về, tạo ra một vỏ bọc đáng tin cậy mà không một ai nghi ngờ rằng trong đó có chứa các kỹ thuật lừa đảo truyền thống.
"Khi người dùng nhấp vào PlayTest của trò chơi này, vốn được tìm thấy trong các trò chơi miễn phí, thực chất là họ đang tải xuống phần mềm độc hại", các nhà nghiên cứu cho biết.
Cũng theo giải thích của các nhà nghiên cưu, phần mềm độc hại đang chạy ngầm và không ảnh hưởng đến hiệu suất chơi game, khiến người chơi không hề hay biết về sự xâm nhập này.
Không rõ EncryptHub đã thêm các tệp độc hại vào dự án trò chơi bằng cách nào, nhưng có thể là do một người trong cuộc đã giúp sức. Nhà phát triển trò chơi chưa công bố bất kỳ tuyên bố chính thức nào trên trang Steam của trò chơi hoặc trên mạng xã hội.
Hiện tại, trò chơi vẫn có sẵn trên Steam, và chưa rõ liệu phiên bản mới nhất đã sạch phần mềm độc hại hay vẫn còn nguy hiểm khi tải xuống. Cho đến khi có thông báo chính thức từ Steam, tốt hơn hết là bạn nên tránh hoàn toàn.
Đây là trường hợp phần mềm độc hại thứ ba xâm nhập vào Steam trong năm nay. Hai trường hợp trước đó là 'Sniper: Phantom's Resolution' vào tháng 3 và 'PirateFi' vào tháng 2.
Trong cả ba trường hợp, các tựa game này đều là game Early Access chứ không phải bản phát hành ổn định, điều này có thể cho thấy quy trình kiểm duyệt của Steam đối với các tựa game này có phần lỏng lẻo hơn. Tuy nhiên, cần thận trọng khi tải xuống các tựa game "đang trong quá trình phát triển".
Hà Linh
Bình luận