Une page Steam était un front pour voler des mots de passe
PSA: Avec plus de 40 millions d'utilisateurs, Steam est probablement une cible attrayante pour les pirates, mais très peu de cas de logiciels malveillants se sont produits sur la vitrine au cours de son historique de deux décennies. Bien qu'un incident récent ne soit pas aussi grave que celui du mois dernier, cela suggère que les escrocs intensifient leurs efforts pour contourner les mesures de sécurité de Valve.
Les utilisateurs qui ont téléchargé une démo pour le tireur d'élite du jeu: la résolution de Phantom devrait immédiatement supprimer tous les fichiers associés et modifier leurs mots de passe. Le jeu a été supprimé de la plate-forme de Valve après que les utilisateurs ont découvert sa page de magasin liée à un voleur d'informations.
Malgré les politiques de contenu relativement indulgentes de Steam, les utilisateurs ont rarement soupçonné le client lui-même de distribuer des logiciels malveillants. Le jeu frauduleux gratuit Piratefi, découvert le mois dernier, a été le premier cas bien connu de ce type depuis les débuts de Steam en tant que programme d'installation de Half-Life 2 en 2004. Le dernier exemple a tenté d'échapper à la sécurité de Valve en hébergeant une démo gratuite sur un site Web séparé.
Bien qu'il ne soit pas inconnu pour les jeux Steam pour héberger des téléchargements en dehors du client, les utilisateurs doivent prendre une extrême prudence lors de la cliquetis sur des liens menant à des sites Web externes. Les avertissements de Valve concernant les liens vers l'extérieur peuvent sembler ennuyeux, mais ils sont là pour une raison.
Redditor « Feral_wasp » a d'abord signalé la résolution de Phantom après avoir remarqué plusieurs drapeaux rouges. Mis à part la démo libre externe et l'art de production générique, ils avaient d'abord entendu parler du jeu grâce à un message direct non sollicité sur Discord – une approche couramment utilisée par les escrocs.
Une enquête plus approfondie a révélé que le site Web du développeur a été enregistré plus tôt ce mois-ci, et les images associées à leurs comptes pourraient avoir été volées. Ils peuvent également être liés à une entreprise cryptographique et semblent promouvoir le jeu via Telegram, le même service de messagerie utilisé dans l'arnaque piratefi.
Après avoir testé la « démo » dans une machine virtuelle, un autre utilisateur a découvert des fichiers conçus pour échapper à Windows Defender, imiter le moteur Unity, dégénérer les privilèges et exécuter Fiddler – un intercepteur de trafic réseau connu. Virustotal a du mal à détecter les logiciels malveillants, ce qui suggère qu'il est nouveau ou sur mesure. Windows Defender, cependant, le signale comme un Troie.
Bien que le lien externe de la page Steam ait dirigé les utilisateurs vers un site Web indépendant vraisemblablement géré par le développeur, la charge utile malveillante provenait en fait du référentiel GitHub du groupe. Contrairement à l'incident de Piratefi, Valve n'a pas encore émis d'e-mails d'avertissement aux utilisateurs concernés. Cependant, Steam a marqué le jeu comme indisponible, et GitHub semble avoir supprimé la page du développeur après que les utilisateurs l'ont signalé.
