がん治療のための資金援助を求めていたゲーマーが、Steamで認証済みのゲーム「Block Blasters」をダウンロードした後、仮想通貨ウォレットから32,000ドルを失いました。
Block Blastersは、2Dプラットフォーマーで、7月30日から9月21日までの約2か月間Steamで提供されていました。このゲームは8月30日までは安全でしたが、その日に暗号資産を抜き取るコンポーネントが追加されました。
開発者Genesis Interactiveによって公開され、現在はSteamから削除されています。レトロスタイルのこのゲームは、レスポンスの良い操作とスピーディーなアクションをうたう基本無料タイトルで、プラットフォーム上で数百件の「非常に好評」レビューを獲得していました。
このゲームに仕込まれた悪意あるコンポーネントは、ビデオゲーム配信者RastalandTVがステージ4の高悪性度肉腫の治療費を集めるためのライブ募金配信中に明らかになりました。
このゲーマーはまた、GoFundMeクラウドファンディングキャンペーンも開始し、寄付を募っています。執筆時点で目標達成率は58%です。
ラトビア出身のこのゲーマーは、自身の説明によると、Steamで認証済みのゲームをダウンロードしたことで32,000ドル以上を失ったと述べています。
出典: Internet Archive
暗号資産調査員のZachXBT氏はBleepingComputerに対し、攻撃者は261のSteamアカウントから合計15万ドルを盗んだようだと語りました。
この攻撃を追跡しているVXUndergroundセキュリティグループは、被害者数は478人とさらに多いと報告し、ユーザー名のリストを公開、所有者に対して直ちにパスワードをリセットするよう呼びかけています。
報道によると、これらの人々はTwitter上で多額の仮想通貨を管理していることが特定され、標的としてゲームの招待が送られたとみられています。
また、研究者グループが簡易報告書を公開し、ドロッパーのバッチスクリプトが環境チェックを行った後、Steamのログイン情報と被害者のIPアドレスを収集し、コマンド&コントロール(C2)システムにアップロードする仕組みを詳述しています。
GDATAの研究者Karsten Hahn氏も、Python製バックドアや、バッチスティーラーと併用されたStealCペイロードについて記録しています。
出典: @struppigel | X
調査員らはまた、攻撃者がTelegramボットのコードやトークンを露出させていたという運用上のセキュリティミスも指摘しています。
OSINTの専門家が捜査に参加し、脅威アクターを特定したとの未確認情報もあり、フロリダ州マイアミに住むアルゼンチン移民であるとされています。
BleepingComputerは、Block Blastersおよび複数の報告後も対応がなかったとされる件についてValve社にコメントを求めていますが、記事公開時点で回答は得られていません。
Block Blastersの事件は、Steam上で孤立したものではありません。今年初めにも、Chemiaサバイバルクラフトゲーム、Sniper: Phantom’s Resolution、PirateFiなど、情報窃取型マルウェアで被害者を感染させた類似のケースが発生しています。
もしBlock BlastersをPCにインストールしている場合は、直ちにSteamのパスワードをリセットし、デジタル資産を新しいウォレットに移すことが推奨されます。
一般的に、ダウンロード数やレビュー数が少ないSteamゲームや、「ベータ」開発段階のタイトルには注意が必要です。これらにはマルウェアが仕込まれている可能性があります。
