Steam: violata la mod di Slay the Spire per diffondere malware

Downfall, un'espansione fanmade per il popolare gioco di strategia indie Slay the Spire, è stata violata il giorno di Natale per diffondere il malware Epsilon che ruba informazioni utilizzando il sistema di aggiornamento di Steam. Come sottolineato dallo sviluppatore Michael Mayhem ai colleghi di BleepingComputer, il pacchetto compromesso è la versione prepackaged standalone modificata del gioco originale e non una mod installata tramite Steam Workshop. Secondo lo sviluppatore: “Uno dei nostri dispositivi è stato colpito da un malware che non è stato contrassegnato o bloccato dal sistema di sicurezza in esecuzione su di esso. Per quanto ne so attualmente, non si trattava di un malware per il furto di password poiché 2FA non ha attivato né bloccato questo problema e degli account compromessi, tutti avevano indirizzi e-mail diversi (e nessuno di quegli indirizzi è stato rubato)”.

Steam: i dettagli dell’infezione di Downfall con malware Epsilon

Gli aggressori hanno compromesso uno degli account Steam e Discord degli sviluppatori di Downfall, consentendo loro di ottenere il controllo dell'account Steam della mod. La violazione è avvenuta il giorno di Natale, tra le 12.30 e le 14.30. Gli utenti che hanno avviato il gioco e visualizzato un popup del programma di installazione della libreria Unity in quel periodo potrebbero essere a rischio. La violazione della sicurezza ha consentito a un payload dannoso di sostituire il gioco Downfall. Una volta installato su un computer compromesso, il malware raccoglie cookie, password salvate e carte di credito dai browser , nonché informazioni su Steam e Discord. Cercherà anche documenti contenenti “password” nei nomi dei file e ulteriori credenziali, inclusi l'accesso locale a Windows e Telegram. Mayhem consiglia agli utenti del gioco di modificare tutte le password importanti, in particolare quelle degli account non protetti da 2FA.

Gli utenti che hanno ricevuto l'aggiornamento dannoso hanno riferito che il malware si installava come applicazione Windows Boot Manager nella cartella AppData o come UnityLibManager nella cartella /AppData/Roaming. Epsilon Stealer è un malware che ruba informazioni e viene venduto tramite Telegram e Discord ad altri autori di minacce. Solitamente prende di mira i giocatori su Discord inducendoli a installare il malware. Il pretesto è quello di testare un nuovo gioco per individuare eventuali bug in cambio di un pagamento. Tuttavia, dopo l'installazione, il gioco distribuisce anche il malware che viene eseguito in background e ruba le password dell'utente e altri dati sensibili. Le informazioni rubate vengono utilizzate per violare ulteriori account o sono vendute sul dark web. Fortunatamente, l'account e-mail dello sviluppatore di Downfall sembra non essere stato violato. Inoltre, in pochi giorni la mod del gioco è stata ripulita e messa nuovamente in sicurezza per i giocatori.