Popüler 2D platform oyun gişe bloğluları için görünüşte masum bir yama güncellemesi, yüzlerce Steam kullanıcısını veri hırsızlığı ve sistem uzlaşmasına maruz bırakarak sofistike bir kötü amaçlı yazılım kampanyasına dönüştü.
30 Ağustos 2025’te konuşlandırılan kötü niyetli yama, tehdit aktörlerinin, kullanıcılar devam eden uzlaşmanın farkında olmaya devam ederken, bilgi çalma kötü amaçlı yazılımları dağıtmak için oyun ekosisteminden nasıl daha fazla yararlandığını gösteriyor.
Genesis Interactive tarafından geliştirilen ve başlangıçta 31 Temmuz 2025’te piyasaya sürülen Blockblaster’lar, artan bir Steam oyun enfeksiyonu trendinde en son kurban olmadan önce oyun topluluğundan olumlu eleştiriler aldı.
Kötü niyetli yapı 19799326 yaması, tehlikeli davranışlar sergileyen birden fazla dosya içerir ve rutin bir oyun güncellemesi gibi görünen şeyi kripto para birimi cüzdan bilgileri, tarayıcı kimlik bilgileri ve buhar giriş bilgileri de dahil olmak üzere hassas kullanıcı verilerini ekspiltrasyona sokabilen çok aşamalı bir saldırıya dönüştürür.
G veri analistleri, MXDR platformlarının oyunun yama dosyalarındaki şüpheli etkinlikleri işaretledikten sonra kötü amaçlı yazılım kampanyasını belirledi.
Güvenlik araştırmacıları, tehdit aktörlerinin Steam’in ilk güvenlik taramasını başarıyla atladığını ve oyunun sistemlerine yüklü yüzlerce oyuncuyu etkileyebilecek kötü amaçlı güncellemelerin konuşlandırılmasına izin verdiğini keşfetti.
Bu olay, kayda değer Piratefi ve Chemia vakaları da dahil olmak üzere buhar oyunlarına benzer saldırıların bir modelini takip eder ve platformun bu tür sofistike sızma girişimlerine karşı devam eden savunmasızlığını vurgulamaktadır.
Saldırı, tehdit aktörleri meşru yazılım dağıtım kanalları aracılığıyla kötü niyetli yükleri dağıtma tekniklerini geliştirmeye devam ettikçe, oyun odaklı kötü amaçlı yazılım kampanyalarında önemli bir yükselmeyi temsil ediyor.
Olay, özellikle çok aşamalı enfeksiyon süreci ve hedeflediği hassas veri aralığı nedeniyle göze çarpıyor ve bu da onu basit bir kötü amaçlı yazılım kurulumundan ziyade kapsamlı bir bilgi hırsızlığı işlemi haline getiriyor.
Teknik enfeksiyon mekanizması ve yük dağıtım
Blockblasters kötü amaçlı yazılım, görünüşte iyi huylu bir toplu dosyanın yürütülmesi ile başlayan gelişmiş üç aşamalı bir enfeksiyon mekanizması yoluyla çalışır. game2.bat.
Bu başlangıç yükü, IP ve konum bilgilerini toplamak da dahil olmak üzere çeşitli keşif işlevleri gerçekleştirir.[.]IO ”ve“ IP[.]Hedef ortamın güvenlik duruşunu değerlendirmek için monte edilmiş antivirüs ürünlerini aynı anda tespit ederken.
Batch dosyasının birincil işlevi, daha sonra SteamID, HesapName, Personaname ve RemyPassword verileri dahil olmak üzere Steam Oturum Açma Kimlik Bilgilerinin toplanmasını içerir; hxxp://203[.]188[.]171[.]156:30815/upload.
Kötü amaçlı yazılım, indirme sırasında yüklerini gizlemek için “121” şifresi ile şifre korumalı zip arşivleri kullanır ve ilk algılama mekanizmalarından etkili bir şekilde kaçar.
.webp)
Başarılı ortam değerlendirmesi üzerine, kötü amaçlı yazılım VBS yükleyici komut dosyalarını dağıtır (launch1.vbs Ve test.vbs) gizli konsol yürütme yoluyla gizli korurken ek toplu dosyalar yürütür.
. test.bat Bileşen özellikle tarayıcı uzantılarını ve kripto para birimi cüzdan verilerini hedefler ve kampanyanın yüksek değerli finansal bilgilere odaklanmasını gösterir.
Son aşama, iki birincil yükün dağıtılmasını içerir: Client-built2.exeC2 altyapısı ile kalıcı iletişim kuran python derlenmiş bir arka kapı ve Block1.exeSTEALC bilgi stealer’ı içerir.
Kötü amaçlı yazılım, yürütme dizini Path’u kullanarak Microsoft Defender’ın hariç tutma listesine stratejik olarak ekler Drive:\SteamLibrary\steamapps\common\BlockBlasters\Engine\Binaries\ThirdParty\Ogg\cwe\güvenlik uyarılarını tetiklemeden sürekli çalışmanın sağlanması.
.webp)
StealC bileşeni, Google Chrome, Cesur Tarayıcı ve Microsoft Edge dahil olmak üzere birden fazla tarayıcıyı hedefler ve depolanan kimlik bilgilerini ve hassas bilgileri ayıklamak için ilgili yerel durum dosyalarına erişir.
Kötü amaçlı yazılım, API çağrılarını ve anahtar dizelerini gizlemek için kullanımdan kaldırılmış RC4 şifrelemesini kullanır ve ikincil bir C2 sunucusuna bağlanır. hxxp://45[.]83[.]28[.]99 Veri açığa vurma işlemleri için, kampanyanın operasyonel güvenliği korumak için dağıtılmış altyapı yaklaşımını gösteren.
Bu hikayeyi ilginç bul! Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin.
