Оффлайн
- Регистрация
- 9 Май 2015
- Сообщения
- 1,483
- Баллы
- 155
Хакер, известный под ником EncryptHub (он же LARVA-208 и Water Gamayun), скомпрометировал игру Chemia, находящуюся в раннем доступе в Steam, чтобы распространить среди пользователей инфостилер.
— это игра в жанре survival crafting (выживание и крафт), которую разрабатывает Aether Forge Studios. В настоящее время игра доступна в раннем доступе, и дата полноценного релиза пока не объявлена.
Исследователи из компании Prodaft , что компрометация Chemia произошла 22 июля 2025 года, когда EncryptHub добавил к файлам игры малварь HijackLoader (CVKRUTNP.exe), которая закрепляется на машине жертвы и загружает инфостилер Vidar (v9d9d.exe). По словам специалистов, малварь получает адрес управляющего сервера через Telegram-канал.
Через три часа после добавления первой малвари в Chemia был внедрен DLL-файл (cclib.dll), содержащий второй вредонос — Fickle Stealer. Этот файл использует PowerShell (worker.ps1) для получения основной полезной нагрузки с сайта soft-gets[.]com.
Стилер Fickle похищает данные, хранящиеся в браузерах жертв, включая учетные данные, информацию для автозаполнения, файлы cookie и данные криптовалютных кошельков.
Схема атаки
В Prodaft подчеркивают, что малварь работает в фоновом режиме и не влияет на производительность игры, поэтому пользователи Chemia могут даже не подозревать о компрометации. На момент написания этого текста игра все еще была доступна в Steam.
При этом пока остается неясным, как именно EncryptHub сумел внедрить вредоносные файлы в Chemia. Одна из теорий предполагает, что ему мог помочь инсайдер. Разработчики игры пока не опубликовали никаких официальных заявлений на своей странице в Steam или в социальных сетях.
Это уже третий случай за год, связанный с обнаружением малвари в Steam. Так, весной текущего года с платформы были удалены вредоносные игры и . Равно как и Chemia, эти игры находились в раннем доступе.
Стоит отметить, что весной 2025 года специалисты шведской ИБ-компании Outpost24 KrakenLabs опубликовали большой отчет, посвященный личности EncryptHub. Тогда аналитики , что он является одновременно киберпреступником и багхантером. Дело в том, что EncryptHub занимается не только взломами, но и фриланс-разработкой, а недавно и вовсе ответственно уведомил Microsoft о двух уязвимостях нулевого дня в Windows.
— это игра в жанре survival crafting (выживание и крафт), которую разрабатывает Aether Forge Studios. В настоящее время игра доступна в раннем доступе, и дата полноценного релиза пока не объявлена.
Исследователи из компании Prodaft , что компрометация Chemia произошла 22 июля 2025 года, когда EncryptHub добавил к файлам игры малварь HijackLoader (CVKRUTNP.exe), которая закрепляется на машине жертвы и загружает инфостилер Vidar (v9d9d.exe). По словам специалистов, малварь получает адрес управляющего сервера через Telegram-канал.
Через три часа после добавления первой малвари в Chemia был внедрен DLL-файл (cclib.dll), содержащий второй вредонос — Fickle Stealer. Этот файл использует PowerShell (worker.ps1) для получения основной полезной нагрузки с сайта soft-gets[.]com.
Стилер Fickle похищает данные, хранящиеся в браузерах жертв, включая учетные данные, информацию для автозаполнения, файлы cookie и данные криптовалютных кошельков.
Схема атаки
Эксперты напоминают, что в прошлом году EncryptHub эту же малварь в масштабной фишинговой кампании с применением социальной инженерии, которая привела к взлому более 600 организаций по всему миру.
В Prodaft подчеркивают, что малварь работает в фоновом режиме и не влияет на производительность игры, поэтому пользователи Chemia могут даже не подозревать о компрометации. На момент написания этого текста игра все еще была доступна в Steam.
При этом пока остается неясным, как именно EncryptHub сумел внедрить вредоносные файлы в Chemia. Одна из теорий предполагает, что ему мог помочь инсайдер. Разработчики игры пока не опубликовали никаких официальных заявлений на своей странице в Steam или в социальных сетях.
Это уже третий случай за год, связанный с обнаружением малвари в Steam. Так, весной текущего года с платформы были удалены вредоносные игры и . Равно как и Chemia, эти игры находились в раннем доступе.
Стоит отметить, что весной 2025 года специалисты шведской ИБ-компании Outpost24 KrakenLabs опубликовали большой отчет, посвященный личности EncryptHub. Тогда аналитики , что он является одновременно киберпреступником и багхантером. Дело в том, что EncryptHub занимается не только взломами, но и фриланс-разработкой, а недавно и вовсе ответственно уведомил Microsoft о двух уязвимостях нулевого дня в Windows.