Genesis Interactive’den canlı bir 2D platform/atıcı olan Blockblasters, 31 Temmuz 2025’te büyük beğeni topladı. Ancak, 30 Ağustos 2025’te geliştiriciler, görünüşte rutin bir yama olan Build 19799326’yı yayınladı.
G Veri MXDR’deki güvenlik analistleri, bu güncellemenin, bugüne kadarki en sinsi buhar tabanlı kötü amaçlı kötü amaçlı kötü amaçlı kötü amaçlı kampanyalardan biri olan kripto para cüzdanı kimlik bilgileri de dahil olmak üzere, oyuncuların bilgisayarlarından hassas verileri hasat edebilen birden fazla kötü amaçlı bileşen taşıdığını keşfetti.
Steamdb’deki geçmiş günlükler, Build’ın 19799326’nın oyunun meşru varlıklarının yanı sıra birkaç yeni dosya yüklediğini ortaya koyuyor.
Birkaç saat içinde, yüzlerce blokajcı oyuncusu olağandışı sistem davranışı bildirdi: beklenmedik ağ sorguları, ses aksaklıkları ve disk etkinliğinde sivri uçlar. G verilerinin analizi, yamanın kalbindeki toplu iş dosyası olan “Game2.bat” ın, kullanıcı oyunu başlatır başlatmaz bir bilgi sürdüren rutin başlattığını belirledi.
Komut dosyası IP bilgilerini “Ipinfo’dan sorgular[.]IO ”ve“ IP[.]Ben, ”Windows Defender’ın ötesinde antivirüs işlemlerini çalıştırmak için tarar ve HXXP: // 203’e yüklemeden önce SteamID, HesapName, Personaname ve depolanan parolaları dahil olmak üzere Steam Oturum Açma Kimlik Bilgileri’ni yakalar.[.]188[.]171[.]156: 30815/yükleme.
Kötü amaçlı yazılım nasıl çalışır
“Game2.bat” keşifini tamamladıktan sonra, iki görsel temel komut dosyası yükleyicisi (Launch1.vbs ”ve“ Test.vbs ” – sessizce ek toplu dosyalar çağırır.
“Launch1.vbs”, Microsoft Defender istisnalarını oyunun kurulum dizini için yapılandıran, şifre korumalı bir arşivi (v3.zip) açan “1.bat” ı çalıştırır ve meşru oyun ikili olarak başlayarak faaliyetlerini maskelerken yüklenebilirleri başlatır.
Daha sonra iki temel yük yürütülebilir dosyası dağıtım: İstemci – inşa.
Ambalajdan çıkarıldıktan sonra Stealc, API çağrılarını eski RC4 rutinlerini kullanarak şifresini çözer ve tarayıcı verilerini hxxp: // 45 adresine ekspiltratlar[.]83[.]28[.]99, otomatik doldurma verilerini tutan yerel durum dosyaları ve şifreler dahil.
Özellikle, bu daha önceki Steam kötü amaçlı yazılım olaylarını yansıtıyor: oynaması ücretsiz başlıkları vuran Piratefi Infostealer kampanyası ve Chemia Erken Erişimden EncryPthub tarafından uzlaşıyor.
Topluluk serpinti ve yanıt
Steamdb ve Gamalytic’den telemetri, Blockblasters’ın herhangi bir anda 1-4 kullanıcıdan oluşan bir aktif oyuncu tabanını koruduğunu gösterir ve kötü niyetli yama canlandığından beri 100’den fazla indirme ile.
Eşzamanlı olarak, “Test.vbs”, yerel savunmaları daha da saklayan ve aynı komut ve – kontrol sunucusuna geri iletmeden önce tarayıcı uzantıları ve kripto para birimi cüzdan bilgilerini Chrome, Cesur ve Edge kullanıcı veri klasörlerinden hasat eden “test.bat” ı yürütür.
Valve o zamandan beri oyunu Steamdb’de “şüpheli” olarak işaretledi ve bu makalenin yayınlanmasından hemen önce Steam mağazasından çıkardı.
Bu önlemlere rağmen, en az bir flama canlı bir bağış toplama sırasında PC’lerini yanlışlıkla bulaştı, kötü amaçlı yazılımları bir kitleye iletti ve bu tür kampanyaların gerçek dünya sonuçlarının altını çizdi.
Hem flama hem de izleyicilerin duygusal tepkisi, bu saldırıların verdiği somut zararı göstermektedir ve oyun güncellemeleri için sıkı güvenlik taramasının kritik önemini vurgulamaktadır.
Tehdit aktörleri Valve’in veterinerlik sürecinden kaçmaya devam ettikçe, bu blok kabadayılar olayı keskin bir hatırlatma görevi görür: iyi saygın indie başlıkları bile karmaşık kötü amaçlı yazılımlar için vektörler olabilir.
Oyuncular ve geliştiriciler, gelişen tehdit manzarasına karşı korunmak için, yama özgünlüğünü doğrulamak, giden ağ bağlantılarını izlemek ve sağlam uç nokta koruması kullanmak – uyanık kalmalıdır.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.