Вторая атака за месяц: хакеры снова проникли в Steam

На платформе Steam произошел опасный инцидент — игра «Sniper: Phantom's Resolution» оказалась прикрытием для распространения вредоносного ПО. После многочисленных жалоб от пользователей, заметивших заражение системы после установки демоверсии, Valve оперативно удалил игру из магазина.

Разработка игры велась под именем «Sierra Six Studios», а выпуск планировался в ближайшие месяцы. Формально размещённая демоверсия предназначалась для предварительного знакомства с проектом. Однако даже официальный источник на Steam представлял угрозу для безопасности пользователей.

Признаки подделки начали проявляться ещё до вмешательства модераторов — внимательные игроки заметили, что описание и графические элементы в игре были скопированы из других проектов, а сама загрузка демо-файла происходила через внешнюю ссылку на GitHub, что нарушает правила платформы.

Демо-файл маскировался под именем «Windows Defender SmartScreen.exe» и содержал сразу несколько вредоносных компонентов — инструменты для повышения привилегий, оболочка Node.js, а также перехватчик трафика Fiddler, способный извлекать куки и другую конфиденциальную информацию.

Кроме того, был зафиксирован запуск и моментальное завершение нескольких скриптов на Node.js — классическая тактика ухода от антивирусных систем. Один из таких скриптов под названием «createShortcut.vbs» добавлял вредоносный файл в автозагрузку, закрепляя его в системе для постоянного запуска при старте Windows.

Вредоносная игра в Steam (Internet Archive)

Также подозрения вызвал и профиль разработчика на GitHub под ником «arda1337». Помимо загрузчика игры, он также размещал инструменты, связанные с криптовалютами и Telegram-ботами — сферами, часто используемыми в киберпреступных целях. После жалоб со стороны сообщества, репозиторий был оперативно удалён сотрудниками GitHub, а спустя сутки игру также удалили из Steam. Вскоре после этого перестал работать и официальный сайт разработчика — sierrasixstudios[.]dev.

Пользователи, успевшие установить демоверсию, с высокой вероятностью заражены вредоносным ПО. Настоятельно рекомендуется немедленно удалить игру, просканировать систему с помощью антивируса и проверить наличие посторонних программ в автозагрузке. Особенно важно проверить подозрительные процессы, связанные с Node.js, и вручную удалить добавленные ярлыки. Valve пока не прокомментировал ситуацию.

Случай стал уже вторым подобным инцидентом за последнее время. В феврале Steam удалила видеоигру PirateFi с платформы после обнаружения в ней вредоносного программного обеспечения. Пользователи, скачавшие игру, получили от компании предупреждение, в котором рекомендовалось провести полную переустановку Windows, чтобы гарантированно избавиться от угрозы.

Хакеры регулярно атакуют игровую индустрию, внедряя вредоносный код в файлы популярных игр. Так, например, в прошлом году была зафиксирована кампания с использованием трояна-инфостилера, направленная против игроков Call of Duty, а в 2023 вирус с функцией самораспространения массово заражал пользователей одной из старых частей той же франшизы.