FBI szuka ofiar złośliwych gier na Steamie. Malware kradło konta, dane i kryptowaluty

Wprowadzenie do problemu / definicja

Dystrybucja złośliwego systemu za pośrednictwem platform gamingowych staje się coraz poważniejszym zagrożeniem dla użytkowników indywidualnych i organizacji. Najnowsza sprawa dotyczy gier udostępnianych na Steamie, które po instalacji miały uruchamiać malware służący do kradzieży danych, przejęć kont oraz opróżniania portfeli kryptowalutowych.

Według dostępnych informacji sprawa zyskała rangę federalnego dochodzenia, a FBI rozpoczęło identyfikację osób, które mogły zostać poszkodowane po pobraniu wskazanych tytułów. Incydent pokazuje, iż choćby rozpoznawalna platforma dystrybucji systemu nie gwarantuje pełnego bezpieczeństwa.

W skrócie

• FBI prowadzi dochodzenie dotyczące co najmniej ośmiu gier opublikowanych na Steamie.
• Złośliwe tytuły miały być instalowane przez użytkowników od maja 2024 roku do stycznia 2026 roku.
• Na liście pojawiają się m.in. BlockBlasters, Chemia, Dashverse, DashFPS, Lampy, Lunara, PirateFi oraz Tokenova.
• Śledztwo koncentruje się na przypadkach kradzieży kryptowalut, przejęć kont i utraty środków finansowych.
• W kampaniach powiązanych z tymi grami wskazywano malware klasy infostealer i loader.

Kontekst / historia

Incydent wpisuje się w szerszy trend wykorzystywania zaufanych ekosystemów do prowadzenia kampanii malware. Cyberprzestępcy coraz częściej próbują omijać czujność użytkowników, podszywając się pod legalne aplikacje, aktualizacje lub narzędzia dostępne na uznanych platformach.

W przypadku Steama nie jest to już problem wyłącznie teoretyczny. W ostatnich kilkunastu miesiącach ujawniono kilka przypadków, w których gry lub ich komponenty były używane do dostarczania infostealerów i loaderów. Jednym z najgłośniejszych przykładów był BlockBlasters, darmowy tytuł 2D, który według doniesień został później zmodyfikowany o złośliwe komponenty.

Głośnym przypadkiem była również gra PirateFi, dostępna przez krótki czas w lutym 2025 roku. Według raportów miała rozprzestrzeniać Vidar Stealera i mogła zostać pobrana przez około 1500 użytkowników przed usunięciem z platformy. W tle pojawiała się także gra Chemia, w której badacze wskazywali obecność wielu rodzin malware powiązanych z bardziej rozbudowanym łańcuchem infekcji.

Analiza techniczna

Z technicznego punktu widzenia mamy do czynienia z kompromitacją łańcucha dostaw systemu osadzoną w środowisku gier. Użytkownik pobiera aplikację z platformy, którą uznaje za wiarygodną, a następnie uruchamia plik, który poza deklarowaną funkcją instaluje również złośliwe komponenty.

W opisywanych przypadkach malware miało charakter infostealerów oraz loaderów. Oznacza to, iż pierwszy etap infekcji mógł odpowiadać za uruchomienie procesu, uzyskanie trwałości na systemie i pobranie kolejnych modułów. Wśród wskazywanych rodzin pojawiały się m.in. HijackLoader, Vidar oraz Fickle Stealer.

Tego typu narzędzia zwykle koncentrują się na pozyskiwaniu zapisanych haseł, ciasteczek sesyjnych, danych przeglądarek, tokenów uwierzytelniających, informacji z komunikatorów oraz zawartości portfeli kryptowalutowych. Szczególnie niebezpieczna jest kradzież aktywnych sesji, ponieważ może umożliwić obejście części zabezpieczeń choćby wtedy, gdy użytkownik korzysta z MFA.

Istotnym elementem tej kampanii jest także możliwość późniejszej modyfikacji gry. Oznacza to, iż aplikacja mogła początkowo nie wykazywać złośliwego działania, a dopiero po czasie zostać zaktualizowana lub uzupełniona o szkodliwy payload. Taki model utrudnia zarówno wykrywanie przez użytkowników, jak i kontrolę bezpieczeństwa po stronie platformy.

Konsekwencje / ryzyko

Ryzyko dla użytkowników jest wielowarstwowe i wykracza poza samo środowisko gamingowe. Infekcja może prowadzić do przejęcia kont Steam, skrzynek e-mail, komunikatorów oraz usług powiązanych z przeglądarką internetową.

• kradzież danych logowania zapisanych w przeglądarkach,
• przejęcie aktywnych sesji i tokenów uwierzytelniających,
• utrata środków z portfeli kryptowalutowych,
• kompromitacja urządzenia używanego również do pracy lub nauki,
• ryzyko dalszych ataków, w tym oszustw finansowych i wdrożenia dodatkowego malware.

Jeżeli użytkownik korzysta z tego samego komputera do logowania do usług firmowych, bankowości internetowej lub paneli administracyjnych, incydent konsumencki może gwałtownie przekształcić się w problem organizacyjny. Infostealery często stanowią pierwszy etap większego ataku, a skradzione dane bywają później sprzedawane lub wykorzystywane do kolejnych włamań.

Dodatkowym zagrożeniem jest opóźniona detekcja. Użytkownik może nie zauważyć infekcji od razu, a szkody staną się widoczne dopiero po kilku dniach lub tygodniach, gdy przestępcy zaczną wykorzystywać przejęte dane albo opróżniać konta i portfele.

Rekomendacje

Osoby, które instalowały wskazane gry, powinny potraktować sytuację jak pełnoprawny incydent bezpieczeństwa. W praktyce oznacza to konieczność szybkiego ograniczenia skutków potencjalnej kompromitacji.

• odłączyć podejrzany komputer od sieci,
• wykonać pełne skanowanie z użyciem zaufanego narzędzia bezpieczeństwa,
• zmienić hasła do Steama, poczty e-mail, giełd kryptowalut i innych kluczowych usług z czystego urządzenia,
• unieważnić aktywne sesje i tokeny logowania,
• sprawdzić historię logowań oraz aktywność finansową,
• przenieść środki kryptowalutowe do nowych portfeli, jeżeli istnieje podejrzenie wycieku danych,
• rozważyć pełną reinstalację systemu w przypadku wykrycia infostealera lub loadera.

Dla zespołów bezpieczeństwa i administratorów ważne jest monitorowanie procesów uruchamianych przez gry, wykrywanie nietypowego dostępu do danych przeglądarek i portfeli oraz korelacja zdarzeń związanych z eksfiltracją danych. W środowiskach firmowych warto również egzekwować rozdział urządzeń prywatnych i służbowych, aby ograniczyć ryzyko przeniesienia incydentu do sieci organizacji.

Podsumowanie

Dochodzenie FBI dotyczące złośliwych gier na Steamie pokazuje, iż cyberprzestępcy skutecznie wykorzystują zaufanie do popularnych platform cyfrowych. Ataki tego typu są szczególnie groźne, ponieważ łączą socjotechnikę, elementy kompromitacji łańcucha dostaw oraz malware nastawione na szybki zysk finansowy.

Dla użytkowników to wyraźny sygnał, iż choćby legalnie wyglądający instalator może stanowić zagrożenie. Dla branży cyberbezpieczeństwa jest to kolejny dowód na to, iż ochrona endpointów, monitoring zachowań aplikacji i edukacja użytkowników muszą obejmować również obszar gamingu.

Źródła

1. BleepingComputer – FBI seeks victims of Steam games used to spread malware – https://www.bleepingcomputer.com/news/security/fbi-seeks-victims-of-steam-games-used-to-spread-malware/
2. TechCrunch – Valve removes Steam game that contained malware – https://techcrunch.com/2025/02/13/valve-removes-steam-game-that-contained-malware/
3. Tom’s Hardware – Hacker plants three strains of malware in a Steam Early Access game called Chemia – https://www.tomshardware.com/tech-industry/cyber-security/hacker-plants-three-strains-of-malware-in-a-steam-early-access-game-called-chemia-security-company-found-crypto-jacking-infostealers-and-a-backdoor-to-install-yet-more-malware-in-the-future
4. G DATA – Vidar Stealer: Infostealer malware discovered in Steam game – https://www.gdatasoftware.com/blog/2025/04/38169-vidar-stealer