Steam подаёт геймерам вирусы под соусом «раннего доступа»

EncryptHub Chemia Steam HijackLoader Vidar Fickle Stealer Prodaft
Steam подаёт геймерам вирусы под соусом «раннего доступа»
EncryptHub Chemia Steam HijackLoader Vidar Fickle Stealer Prodaft

Это уже третий случай заражения игр на платформе за полгода.

image

Хакерская группа под псевдонимом EncryptHub , также известная как Larva-208, внедрила вредоносное ПО в игру на платформе Steam, превратив её в инструмент для массового заражения пользователей.

Целью атаки стала игра Chemia — выживалка с элементами крафта от студии Aether Forge Studios, находящаяся в статусе раннего доступа без официальной даты релиза. Несколько дней назад злоумышленники добавили в игровые файлы вредоносные компоненты, незаметные для игроков и не мешающие работе самой игры.

По данным компании Prodaft, 22 июля в дистрибутив Chemia был внедрён исполняемый файл CVKRUTNP.exe, являющийся загрузчиком HijackLoader . Он запускается на устройстве жертвы при старте игры, обеспечивая устойчивость вредоносной активности и загружая следующую стадию — шпионскую программу Vidar (v9d9d.exe), известную способностью собирать конфиденциальные данные. Команды для вредоноса поступают с удалённого сервера, адрес которого злоумышленники распространяют через канал в Telegram.

Через три часа после первой модификации в игру был добавлен ещё один вредоносный компонент — библиотека cclib.dll. Этот файл активирует PowerShell-скрипт worker.ps1, который подключается к домену soft-gets[.]com для получения основного вредоносного модуля — Fickle Stealer . Этот шпион крадёт пароли, автозаполнения, куки и криптовалютные кошельки, сохранившиеся в браузерах на заражённой машине.

Ранее EncryptHub использовала ту же связку вредоносного ПО в крупной целевой кампании с элементами социальной инженерии, которая охватила более 600 организаций по всему миру. Группа примечательна тем, что ведёт двойную игру: с одной стороны — эксплуатирует уязвимости Windows нулевого дня, а с другой — сообщает о критических дырах Microsoft в рамках ответственного раскрытия.

Как подчёркивают в Prodaft, нажатие на кнопку Playtest, доступную в разделе бесплатных игр на Steam, запускает не обычную демо-версию, а полноценный троян, маскирующийся под легитимный файл. Пользователь, уверенный в безопасности Steam, даже не подозревает, что запускает вредонос, ведь игра загружается и функционирует без сбоев.

Исследователи указывают, что внедрённый код не влияет на производительность и никак не выдаёт себя во время игрового процесса. Это делает атаку особенно коварной, так как пользователи даже не замечают компрометации. Как именно EncryptHub получила доступ к размещённой в Steam сборке игры, пока неясно. Возможен вариант с участием инсайдера. Ни разработчики Chemia, ни платформа Valve официальных заявлений пока не сделали, несмотря на запросы журналистов.

Chemia до сих пор доступна для загрузки, и неизвестно, очищена ли последняя версия от вредоносных компонентов. До появления подтверждённой информации от Valve или разработчика настоятельно рекомендуется воздержаться от скачивания.

Этот инцидент стал уже третьим случаем внедрения вредоносного ПО в ранние версии игр на Steam в 2025 году. Ранее похожие проблемы возникли со «Sniper: Phantom’s Resolution» в марте и «PirateFi» в феврале. Все три случая объединяет статус «раннего доступа», что может говорить о менее строгом аудите таких проектов на платформе. Пользователям стоит проявлять особую осторожность при установке незавершённых игр, особенно если они распространяются бесплатно.