SteamストアのPirateFiという無料ゲームが、Vidarという情報窃取マルウェアを無防備なユーザーに配布していた。
このタイトルは2月6日から2月12日までの約1週間、Steamのカタログに掲載され、最大1,500人のユーザーがダウンロードした。同配信サービスは、影響を受けた可能性のあるユーザーに対し、用心してWindowsを再インストールするよう通知を送っている。
Steamにおけるマルウェア
PirateFiは先週、Seaworth InteractiveによってSteamでリリースされ、好意的な評価を受けた。ローポリの世界を舞台にしたサバイバルゲームで、基地建設、武器クラフト、食料採集などを含むと説明されている。
ソースはこちら:インターネット・アーカイブ
しかし今週初め、Steamはこのゲームにマルウェアが含まれていることを発見したが、同サービスは正確な種類を特定しなかった。
「このゲームの開発者のSteamアカウントは、マルウェアの疑いがあるビルドをSteamにアップロードしました。
「これらのビルドがアクティブな間に、あなたはSteamでPirateFi (3476470)をプレイしました。
通知を受けた人に推奨される対策としては、最新のアンチウイルスを使用してシステムの完全スキャンを実行すること、認識できないソフトウェアが新たにインストールされていないかチェックすること、OSのフォーマットを検討することなどが挙げられている。
ソースはこちら:SteamDB
また、影響を受けたユーザーは、同タイトルのSteamコミュニティページに警告を投稿し、ウイルス対策ソフトがマルウェアとして認識したため、ゲームを起動しないよう他のユーザーに伝えている。
SECUINFRA Falcon TeamのMarius Genheimer氏は、PirateFiを通じて配布されたマルウェアのサンプルを入手し、Vidar infostealerのバージョンであることを特定しました。
“この「ゲーム」をダウンロードしたプレイヤーの一人である場合:ブラウザ、電子メールクライアント、暗号通貨ウォレットなどに保存されている認証情報、セッションクッキー、秘密情報が危険にさらされていると考えてください」とSECUINFRAはアドバイスしている。
可能であれば、影響を受ける可能性のあるすべてのアカウントのパスワードを変更し、多要素認証保護を有効にすることをお勧めします。
動的解析とYARAシグネチャの一致に基づいてVidarと特定されたマルウェアは、InnoSetupインストーラに同梱されたペイロード(Howard.exe)としてPirate.exeというファイルに隠されていた。
Genheimer氏によると、脅威行為者はゲームファイルを数回修正し、様々な難読化テクニックを使用し、クレデンシャル流出のためにコマンド・アンド・コントロール・サーバを変更したとのことです。
研究者は、PirateFiの名前に含まれるweb3/ブロックチェーン/暗号通貨への言及は、特定のプレイヤー層をおびき寄せるための意図的なものだと考えている。
Steamは、PirateFiマルウェアの影響を受けたユーザー数に関する数字を公表していないが、同タイトルのページの統計によると、最大1,500人が影響を受けた可能性がある。
Steamストアにマルウェアが侵入することはよくあることではないが、前例がないわけでもない。2023年2月には、Chromeのn-dayエクスプロイトを利用してプレイヤーのコンピュータ上でリモートコード実行を行う悪質なDota 2のゲームモードがSteamユーザーを狙いました。
2023年12月には、当時大人気だったインディーズ戦略ゲーム「Slay the Spire」のMODが、ハッカーによって「Epsilon」インフォステア・ドロッパーを注入され、危険にさらされた。
Steamは、無許可の悪意あるアップデートからプレイヤーを守るため、SMSベースの認証などの追加対策を導入しているが、PirateFiのケースは、これらの対策が不十分であることを示している。
Comments