เกม Early Access บน Steam ถูกแฮ็ก! แฝงมัลแวร์ขโมยข้อมูลแบบแนบเนียน
ผู้เล่นเกมบน Steam ต้องระวัง! มีรายงานว่าแฮ็กเกอร์ได้แอบฝังมัลแวร์ขโมยข้อมูล (Info Stealer) ไว้ในเกมบน Steam ชื่อ Chemia โดยที่ผู้เล่นแทบไม่รู้ตัว ส่งผลให้ข้อมูลสำคัญในเบราว์เซอร์ รวมถึงรหัสผ่านและกระเป๋าคริปโตถูกขโมยไปอย่างเงียบ ๆ
แฮ็กเกอร์ชื่อ EncryptHub อยู่เบื้องหลัง
บริษัทด้านความมั่นคงไซเบอร์ Prodaft เผยว่า กลุ่มแฮ็กเกอร์ที่ใช้ชื่อ EncryptHub (หรือ Larva-208) ได้เจาะระบบของเกม Chemia ซึ่งเป็นเกมแนว survival crafting จากสตูดิโอ Aether Forge Studios แล้วฝังไฟล์อันตรายเข้าไปเมื่อวันที่ 22 กรกฎาคมที่ผ่านมา
แม้เกมนี้ยังอยู่ในสถานะ Early Access และยังไม่เปิดตัวเต็มรูปแบบ แต่ก็เปิดให้ดาวน์โหลดและเล่นฟรีบน Steam โดยไม่มีประกาศเตือนใด ๆ จากผู้พัฒนา
วิธีการโจมตี: ฝังไฟล์แฝงมัลแวร์ลงในเกม
จากการตรวจสอบของ Prodaft พบว่า แฮ็กเกอร์ใช้มัลแวร์ชื่อ HijackLoader (ไฟล์ชื่อ CVKRUTNP.exe) เป็นตัวเริ่มต้น เมื่อผู้เล่นเปิดเกม มัลแวร์ตัวนี้จะฝังตัวอยู่ในระบบและเชื่อมต่อกับ Telegram เพื่อรับคำสั่งจากเซิร์ฟเวอร์ควบคุม (C2)
จากนั้นมัลแวร์ Vidar infostealer (ไฟล์ v9d9d.exe) จะถูกดาวน์โหลดและรันในเครื่องโดยอัตโนมัติ พร้อมเก็บข้อมูลสำคัญของผู้ใช้
ไม่กี่ชั่วโมงต่อมา มัลแวร์ตัวที่สองชื่อ Fickle Stealer ก็ถูกแอบเพิ่มเข้ามาอีก โดยมากับไฟล์ DLL (cclib.dll) ซึ่งใช้ PowerShell (worker.ps1) เพื่อดึงไฟล์หลักจากเว็บไซต์ soft-gets[.]com
มัลแวร์ Fickle Stealer มีความสามารถในการขโมยข้อมูลจากเว็บเบราว์เซอร์ ไม่ว่าจะเป็นรหัสผ่านที่บันทึกไว้ ข้อมูล Auto-fill คุกกี้ และข้อมูลจากกระเป๋าคริปโต
ใช้ความไว้ใจต่อ Steam เป็นเครื่องมือโจมตี
สิ่งที่ทำให้การโจมตีครั้งนี้น่ากลัว คือความแนบเนียนของมัน เพราะไฟล์เกมดูเหมือนปกติ ผู้เล่นที่ดาวน์โหลดจาก Steam โดยตรงจะไม่พบข้อสงสัยใด ๆ และมัลแวร์ยังทำงานอยู่เบื้องหลังโดยไม่กระทบต่อประสิทธิภาพของเกม ทำให้ผู้เล่นไม่รู้เลยว่าถูกติดตั้งซอฟต์แวร์อันตรายไว้ในเครื่อง
Prodaft ชี้ว่า แฮ็กเกอร์อาศัยความไว้ใจของผู้ใช้งานที่มีต่อ Steam แทนที่จะใช้วิธีล่อลวงผ่านเว็บไซต์แปลกปลอมแบบเดิม ๆ
ยังไม่มีการชี้แจงจากผู้พัฒนา
ขณะนี้ยังไม่มีประกาศอย่างเป็นทางการจาก Aether Forge Studios บนหน้า Steam หรือช่องทางโซเชียลของเกม Chemia และทาง BleepingComputer ซึ่งเป็นแหล่งข่าวต้นเรื่องก็ระบุว่ากำลังรอคำชี้แจงจากทั้งผู้พัฒนาและ Valve (เจ้าของแพลตฟอร์ม Steam)
ที่น่าเป็นห่วงคือ เกม Chemia ยังเปิดให้ดาวน์โหลดอยู่ในขณะนี้ และไม่แน่ชัดว่าไฟล์ล่าสุดถูกลบมัลแวร์ออกไปแล้วหรือยัง
ไม่ใช่ครั้งแรกที่ Steam ถูกใช้แพร่มัลแวร์
กรณีนี้นับเป็นครั้งที่สามในปีนี้ที่มีมัลแวร์หลุดเข้าไปในเกมบน Steam โดยก่อนหน้านี้มีกรณีของเกม Sniper: Phantom’s Resolution ในเดือนมีนาคม และ PirateFi ในเดือนกุมภาพันธ์
ทั้งสามกรณีมีจุดร่วมที่น่าสนใจคือ “เป็นเกม Early Access ทั้งหมด” ซึ่งอาจสะท้อนว่า Steam มีมาตรการตรวจสอบความปลอดภัยที่ไม่เข้มงวดนักสำหรับเกมที่ยังไม่เปิดตัวเต็มรูปแบบ
ข้อควรระวังสำหรับผู้เล่น
เนื่องจากเกม Early Access บน Steam เปิดให้ผู้พัฒนาอัปโหลดไฟล์เกมได้โดยตรง และอาจมีการอัปเดตบ่อยครั้งโดยไม่มีการตรวจสอบทุกครั้ง ผู้เล่นจึงควรระวังเป็นพิเศษ โดยเฉพาะเกมฟรีหรือเกมที่ยังไม่มีรีวิวมาก
คำแนะนำ:
- หลีกเลี่ยงการดาวน์โหลดเกมที่ยังไม่มีรีวิวหรือไม่ได้มาจากผู้พัฒนาที่น่าเชื่อถือ
- ติดตั้งโปรแกรมสแกนมัลแวร์ที่สามารถตรวจจับไฟล์ใหม่ในเครื่องได้
- หากเคยดาวน์โหลดเกม Chemia แล้ว ควรสแกนเครื่องทันที และตรวจสอบว่ามีไฟล์ต้องสงสัยอย่าง
CVKRUTNP.exe,v9d9d.exe,cclib.dll, หรือworker.ps1อยู่ในระบบหรือไม่
สรุป
กรณีเกม Chemia เป็นอีกหนึ่งตัวอย่างที่เตือนให้ผู้ใช้งานระวังภัยมัลแวร์ที่มาในรูปแบบใหม่ ผ่านช่องทางที่คาดไม่ถึงอย่าง Steam ซึ่งเป็นแพลตฟอร์มยอดนิยมระดับโลก ความไว้ใจของผู้ใช้จึงกลายเป็นช่องโหว่ที่แฮ็กเกอร์ใช้เป็นเครื่องมือโจมตี
ที่มา: bleepingcomputer
