กลุ่มผู้ไม่หวังดีที่ใช้ชื่อว่า EncryptHub ได้โจมตีระบบเกมของ Steam เพื่อแพร่กระจายมัลแวร์ขโมยข้อมูลไปยังผู้ใช้งานที่ดาวน์โหลดเกมดังกล่าวไปแล้ว
เมื่อไม่กี่วันที่ผ่านมา แฮ็กเกอร์รายนี้ (ที่รู้จักในอีกชื่อว่า Larva-208 ) ได้แอบฝังไบนารีที่เป็นอันตรายลงในไฟล์เกม Chemia ที่อยู่บน Steam
Chemia เป็นเกมแนวเอาชีวิตรอด และสร้างไอเทม จากผู้พัฒนา ‘Aether Forge Studios’ ซึ่งปัจจุบันเปิดให้เล่นในรูปแบบ Early Access บน Steam แต่ยังไม่มีกำหนดวันวางจำหน่ายอย่างเป็นทางการ
ตามรายงานจากข้อมูลของบริษัทข่าวกรองภัยคุกคาม Prodaft ระบุว่า การโจมตีระบบในครั้งแรกเกิดขึ้นเมื่อวันที่ 22 กรกฎาคมที่ผ่านมา โดย EncryptHub ได้เพิ่มมัลแวร์ HijackLoader (ชื่อไฟล์ CVKRUTNP.exe) ลงในไฟล์ของเกม ซึ่งมัลแวร์ตัวนี้จะฝังตัวอย่างถาวรบนอุปกรณ์ของเหยื่อ และทำการดาวน์โหลดมัลแวร์ขโมยข้อมูล Vidar (ชื่อไฟล์ v9d9d.exe) ต่อไป
นักวิจัยพบว่ามัลแวร์ดังกล่าวได้ดึงที่อยู่ของเซิร์ฟเวอร์ C2 มาจากช่องทางบน Telegram
มัลแวร์ตัวที่สองคือ Fickle Stealer ถูกเพิ่มเข้ามาในเกม Chemia หลังจากนั้นเพียงสามชั่วโมงต่อมาผ่านไฟล์ DLL (cclib.dll) โดยไฟล์นี้จะใช้ PowerShell (‘worker.ps1’) เพื่อไปดึง payload หลักมาจากเว็บไซต์ soft-gets[.]com
Fickle Stealer เป็นมัลแวร์ประเภทขโมยข้อมูล ที่ถูกออกแบบมาเพื่อขโมยข้อมูลที่ถูกจัดเก็บไว้ในเว็บเบราว์เซอร์ เช่น ข้อมูล Credentials, ข้อมูลที่กรอกอัตโนมัติ (Auto-fill information), Cookies และข้อมูล Cryptocurrency wallet
EncryptHub เคยใช้มัลแวร์ตัวนี้ในแคมเปญ spear-phishing และ social engineering ขนาดใหญ่เมื่อปีที่แล้ว ซึ่งสามารถโจมตีระบบองค์กรได้มากกว่า 600 แห่งทั่วโลก
วิธีการของกลุ่มผู้ไม่หวังดีรายนี้ถือว่าเป็นกรณีที่แปลกในอาชญากรรมทางไซเบอร์ เนื่องจากมีความเชื่อมโยงกับทั้งการโจมตีโดยใช้ช่องโหว่ Zero-day บน Windows และในขณะเดียวกันก็มีการเปิดเผยข้อมูลช่องโหว่ระดับ Critical ให้กับ Microsoft ทราบอีกด้วย
จากในรายงานที่ Prodaft แชร์ให้กับ BleepingComputer ระบุว่า "ไฟล์เกมที่ถูกฝังมัลแวร์นั้นดูเหมือนเป็นไฟล์เกมปกติสำหรับผู้ใช้ที่ดาวน์โหลดผ่าน Steam ซึ่งถือเป็นเทคนิค social engineering ที่ได้ผล เพราะอาศัยความน่าเชื่อถือของตัวแพลตฟอร์ม แทนที่จะเป็นเทคนิคการหลอกลวงแบบดั้งเดิม"
นักวิจัย ระบุว่า "เมื่อผู้ใช้คลิกเข้าไปที่ปุ่ม Playtest ของเกมนี้ ที่จะพบอยู่ในหมวดของเกมฟรี ซึ่งพวกเขากำลังดาวน์โหลดซอฟต์แวร์ที่เป็นอันตรายโดยไม่รู้ตัว"
Prodaft อธิบายเพิ่มเติมว่า มัลแวร์จะทำงานอยู่เบื้องหลังโดยไม่ส่งผลกระทบต่อประสิทธิภาพของเกม ทำให้เหล่าผู้เล่นไม่รู้ตัวเลยว่าเครื่องคอมพิวเตอร์ของตนได้ติดมัลแวร์เข้าไปแล้ว
ยังไม่เป็นที่แน่ชัดว่า EncryptHub สามารถเพิ่มไฟล์มัลแวร์ที่เป็นอันตรายนี้ลงในโปรเจกต์เกมได้อย่างไร แต่อาจเป็นไปได้ว่ามีบุคคลภายในให้ความช่วยเหลือ ณ ขณะนี้ทางผู้พัฒนาเกมยังไม่ได้ออกแถลงการณ์ใด ๆ ทั้งบนหน้าเพจ Steam ของเกมหรือบนโซเชียลมีเดีย
ทาง BleepingComputer ได้ติดต่อสอบถามไปยังผู้พัฒนาเกม Chemia รวมถึงบริษัท Valve เพื่อขอความคิดเห็นแล้ว และจะอัปเดตข่าวนี้อีกครั้งเมื่อได้รับการตอบกลับ
ในระหว่างนี้ ตัวเกมยังคงมีให้ดาวน์โหลดบน Steam และยังไม่ชัดเจนว่าเวอร์ชันล่าสุดนั้นได้ลบมัลแวร์ออกไปแล้วหรือยัง ดังนั้น จนกว่าจะมีการประกาศอย่างเป็นทางการจาก Steam ขอแนะนำให้ผู้เล่นทุกคนหลีกเลี่ยงการดาวน์โหลดเกมนี้ไปก่อน
เหตุการณ์นี้เป็นกรณีที่สามแล้วของปีนี้ ที่มัลแวร์สามารถแฝงตัวเข้ามาใน Steam ได้ โดยสองกรณีก่อนหน้านี้ คือเกม ‘Sniper: Phantom’s Resolution’ ในเดือนมีนาคม และ ‘PirateFi’ ในเดือนกุมภาพันธ์ที่ผ่านมา
ในทั้งสามกรณีนี้ เป็นเกมที่อยู่ในสถานะ Early Access หรือเวอร์ชันทดสอบ ซึ่งแสดงให้เห็นว่ากระบวนการตรวจสอบของ Steam สำหรับเกมประเภทนี้อาจมีความหละหลวมกว่าปกติ อย่างไรก็ตาม ขอแนะนำให้ผู้ใช้ใช้ความระมัดระวังเป็นพิเศษเมื่อดาวน์โหลดเกมที่ยังอยู่ในระหว่างการพัฒนา
Indicators of Compromise (IoCs) สำหรับการโจมตีล่าสุดของ EncryptHub สามารถดูรายละเอียดได้จากที่นี่
Link : github
ที่มา : bleepingcomputer
You must be logged in to post a comment.