Popüler Slay the Spire bağımsız strateji oyununun hayran genişletmesi olan Downfall, Noel Günü’nde Steam güncelleme sistemini kullanarak Epsilon bilgi hırsızı kötü amaçlı yazılımını yaymak için ihlal edildi.
Geliştirici Michael Mayhem’in BleepingComputer’a söylediği gibi, ele geçirilen paket orijinal oyunun önceden paketlenmiş bağımsız değiştirilmiş versiyonudur ve Steam Workshop aracılığıyla yüklenen bir mod değildir.
“Cihazlarımızdan birine, üzerinde çalıştırdığımız güvenlik tarafından işaretlenmeyen veya engellenmeyen kötü amaçlı yazılım çarptı. Şu anda bildiğim kadarıyla, 2FA bunu tetiklemediği veya durdurmadığı için bu, parola çalan bir kötü amaçlı yazılım değildi ve Ele geçirilen hesapların hepsi farklı e-posta adresleri altındaydı (ve bu adreslerin hiçbiri çalınmadı),” diyen Mayhem, BleepingComputer’a, profesyonel bir değerlendirme elde edene kadar “mutlak bir kesinlik ile herhangi bir şeyi belirtmek konusunda isteksiz” olduğunu söyledi.
“Bu, bunun yerine (bize bir güvenlik uzmanı tarafından önerildiği üzere) bunun bir jeton kaçırma olayı olduğuna inanmamıza yol açtı; özellikle Steam’i ele geçirmek ve yükleme yapmak için kullanmak ve kullanıcıları uyarmak için Discord’u kullanmak amacıyla tasarlandı, ancak şu anda bu sadece bir spekülasyon. “
Saldırganlar sınırlı Downfall’ın geliştiricilerinin Steam ve Discord hesaplarından biri, modun Steam hesabının kontrolünü ele geçirmelerine olanak tanıyor.
“İhlal penceresi 25/12’de kabaca 13:30 – 14:30 Doğu (1830-1930 UTC+0) idi. 25/12’de ihlal penceresi sırasında Düşüş’ü başlattıysanız ve bir Unity kitaplığı yükleyici açılır penceresiyle karşılaştıysanız, lütfen okumaya devam edin. Siz de risk altında olabilirsiniz. Güvenlik ihlali, Downfall paketlenmiş oyunun yerine kötü niyetli bir yükleme yapılmasına izin verdi” dedi Mayhem Çarşamba günü yayınlanan bir açıklamada.
Kötü amaçlı yazılım, ele geçirilen bir bilgisayara yüklendikten sonra web tarayıcılarından (Google Chrome, Yandex, Microsoft Edge, Mozilla Firefox, Brave, Vivaldi) çerezleri, kayıtlı şifreleri ve kredi kartlarını, ayrıca Steam ve Discord bilgilerini toplayacak.
Ayrıca dosya adlarında ‘şifre’ içeren belgeleri ve yerel Windows oturum açma bilgileri ve Telegram dahil olmak üzere daha fazla kimlik bilgisini arayacaktır.
Downfall kullanıcılarına, özellikle 2FA (2 faktörlü kimlik doğrulama) tarafından korunmayan hesaplar için tüm önemli şifreleri değiştirmeleri tavsiye edilir.
Kötü amaçlı güncellemeyi alan kullanıcılar, kötü amaçlı yazılımın kendisini AppData klasörüne Windows Önyükleme Yöneticisi uygulaması olarak veya /AppData/Roaming klasörüne UnityLibManager olarak yükleyeceğini bildirdi.
Epsilon Stealer, Telegram ve Discord aracılığıyla diğer tehdit aktörlerine satılan, bilgi çalan bir kötü amaçlı yazılımdır. Ödeme karşılığında yeni bir oyunu hatalar için test etme kisvesi altında kötü amaçlı yazılımı yüklemeleri için onları kandırarak Discord’daki oyuncuları hedeflemek için yaygın olarak kullanılıyor.
Ancak oyun yüklendikten sonra arka planda çalışan ve kullanıcının şifrelerini, kredi kartı bilgilerini ve kimlik doğrulama çerezlerini çalan kötü amaçlı yazılımı da dağıtıyor.
Çalınan bilgiler ya tehdit aktörleri tarafından başka hesaplara sızmak için kullanılıyor ya da karanlık web pazarlarında satılıyor.
VirusTotal verilerine göre bu saldırının arkasındaki tehdit aktörünün diğer oyunları ve oyun geliştiricilerini de hedef almış olması muhtemel.
Steam güvenliği sıkılaştırıyor
Ekim ayında Valve, Steam’deki varsayılan sürüm dalında bir güncelleme yayınlayan oyun geliştiricilerinden artık SMS tabanlı güvenlik kontrolleri gerektirdiğini duyurdu.
Karar, ağustos ayının sonlarından itibaren oyunculara kötü amaçlı yazılım bulaştırmak amacıyla kötü amaçlı oyun yapılarını yüklemek için kullanılan, güvenliği ihlal edilmiş Steamworks hesaplarının sayısındaki artışa yanıt olarak alındı.
Valve, “Güvenlik güncellemesinin bir parçası olarak, yayınlanmış bir uygulamanın varsayılan/genel şubesinde canlı olarak oluşturulan herhangi bir Steamworks hesap ayarının, Steam’in devam etmeden önce size bir onay kodu gönderebilmesi için hesaplarıyla ilişkilendirilmiş bir telefon numarasına sahip olması gerekir” dedi. Ekimde.
“Aynı şey, yeni kullanıcı eklemesi gereken herhangi bir Steamworks hesabı için de geçerli olacaktır. Bu değişiklik 24 Ekim 2023’te yayınlanacaktır, dolayısıyla hesabınıza şimdi bir telefon numarası eklediğinizden emin olun. Bu gereksinimi diğer hesaplar için de eklemeyi planlıyoruz. Steamworks’ün gelecekteki eylemleri.”
Güncelleme 28.12.23: Geliştiricinin e-posta hesabı ihlal edilmedi.