\nVergangene Woche hat Valve ein Spiel aus seinem Online-Shop Steam entfernt, weil das Produkt mit Malware verseucht war.
\nNach der Entfernung des Spiels, das PirateFi genannt wurde, analysierten Sicherheitsforscher die Malware und fanden heraus, dass derjenige, der sie platziert hat, ein bestehendes Videospiel modifiziert hat, um Gamer dazu zu verleiten, eine Infostealer namens Vidar zu installieren.
\nMarius Genheimer, ein Forscher, der die Malware analysiert hat und bei SECUINFRA Falcon Team arbeitet, sagte TechCrunch, dass sie anhand der mit der Malware verbundenen Befehls- und Kontrollserver und ihrer Konfiguration vermuten, dass PirateFi nur eine von mehreren Taktiken war, um Vidar in Massen zu verbreiten.
\n„Es ist sehr wahrscheinlich, dass es nie ein legitimes, laufendes Spiel war, das nach der ersten Veröffentlichung geändert wurde“, sagte Genheimer.
\nMit anderen Worten, PirateFi wurde entwickelt, um Malware zu verbreiten.
\nGenheimer und seine Kollegen fanden auch heraus, dass PirateFi durch Modifizierung einer bestehenden Spielvorlage namens Easy Survival RPG erstellt wurde, die sich als ein Spiel-Entwicklungs-App bezeichnet, die "Ihnen alles bietet, was Sie brauchen, um Ihr eigenes Einzelspieler- oder Mehrspieler-Spiel zu entwickeln". Der Spielemacher kostet zwischen 399 und 1.099 US-Dollar für die Lizenz.
\nDies erklärt, wie die Hacker in der Lage waren, ein funktionierendes Videospiel mit ihrer Malware zu vertreiben, mit nur wenig Aufwand.
\nNach Genheimer ist die Vidar-Infostealer-Malware in der Lage, verschiedene Arten von Daten von den Computern zu stehlen und zu exfiltrieren, die sie infiziert, darunter: Passwörter aus der Autofill-Funktion des Webbrowsers, Sitzungs-Cookies, die verwendet werden können, um sich als jemand anzumelden, ohne ihr Passwort zu benötigen, Browserverlauf, Details zu Kryptowährungs-Wallets, Screenshots und Zwei-Faktor-Codes von bestimmten Token-Generatoren sowie andere Dateien auf dem Computer der Person.
\n
Vidar wurde in mehreren Hacking-Kampagnen eingesetzt, darunter ein Versuch, die Hotel-Anmeldeinformationen von Booking.com zu stehlen, andere mit dem Ziel, Ransomware einzusetzen, und ein weiterer Versuch, bösartige Anzeigen in den Google-Suchergebnissen zu platzieren. Im Jahr 2024 berichtete das Gesundheitssektor-Cybersicherheits-Koordinationszentrum (HC3), dass Vidar, der erstmals 2018 entdeckt wurde, „einer der erfolgreichsten Infostealer“ geworden ist.
\nInfostealer sind gängige Arten von Malware, die darauf abzielen, Informationen und Daten von den Computern eines Opfers zu stehlen. Infostealer werden oft im Malware-as-a-Service-Modell verkauft, was bedeutet, dass die Malware auch von Hackern mit wenig Können gekauft und verwendet werden kann. Das macht es auch sehr schwierig, herauszufinden, wer hinter PirateFi steckt, sagte Genheimer, da Vidar „weithin von vielen Cyberkriminellen angenommen wird“.
\nGenheimer sagte, sie hätten mehrere Proben der Malware analysiert, die in PirateFi enthalten waren, eine, die im Online-Malware-Repository VirusTotal gefunden wurde, die anscheinend von einem Gamer in Russland hochgeladen wurde; eine andere wurde über SteamDB identifiziert, eine Website, die Informationen über Spiele veröffentlicht, die auf Steam gehostet werden. Die Forscher fanden eine weitere Probe in einer Threat-Intelligence-Datenbank, auf die sie zugreifen konnten. Alle drei Malware-Proben haben laut Genheimer die gleiche Funktionalität.
\nValve hat nicht auf die Anfrage von TechCrunch geantwortet.
\nSeaworth Interactive, die vermeintlichen Entwickler von PirateFi, haben keine offensichtliche Online-Präsenz. Bis letzte Woche hatte das Spiel ein X-Konto, das jetzt entfernt wurde. Das Konto enthielt einen Link zum Spiel auf Steam.
\nDie Eigentümer des Kontos haben nicht auf eine Anfrage zur Unterhaltung über Direktnachricht reagiert, bevor es entfernt wurde.
\n
