Un jeu gratuit nommé Pirate Fi dans le magasin Steam a distribué le logiciel malveillant Vidar info stealing à des utilisateurs sans méfiance.
Le titre était présent dans le catalogue Steam pendant près d’une semaine, entre le 6 et le 12 février, et a été téléchargé par jusqu’à 1 500 utilisateurs. Le service de distribution envoie des avis aux utilisateurs potentiellement touchés, leur conseillant de réinstaller Windows par excès de prudence.
Malware sur Steam
Pirate Fi a été publié sur Steam la semaine dernière par Seaworth Interactive et a reçu des critiques positives. Il est décrit comme un jeu de survie se déroulant dans un monde low-poly impliquant la construction de bases, la fabrication d’armes et la collecte de nourriture.
Plus tôt cette semaine cependant, Steam a découvert que le jeu contenait des logiciels malveillants, mais le service n’a pas précisé le type exact.
« Le compte Steam du développeur de ce jeu téléchargé sur Steam contient des versions suspectes de logiciels malveillants », lit-on dans la notification.
« »Vous avez joué à Pirate Fi (3476470) sur Steam alors que ces builds étaient actifs, il est donc probable que ces fichiers malveillants se soient lancés sur votre ordinateur », prévient le service.
Les mesures recommandées pour les destinataires de la notification incluent l’exécution d’une analyse complète du système à l’aide d’un antivirus à jour, la recherche de logiciels nouvellement installés qu’ils ne reconnaissent pas et la prise en compte d’un format de système d’exploitation.
Les utilisateurs concernés ont également publié des avertissements sur la page de la communauté Steam du titre, demandant aux autres de ne pas lancer le jeu car leur antivirus l’a reconnu comme un logiciel malveillant.
Marius Genheimer de l’équipe SECUINFRA Falcon a obtenu un échantillon du malware distribué via PirateFi et l’a identifié comme une version de l’infostealer Vidar.
« Si vous êtes l’un des joueurs qui ont téléchargé ce « jeu »: Tenez compte des informations d’identification, des cookies de session et des secrets enregistrés dans votre navigateur, client de messagerie, portefeuilles de crypto-monnaie, etc. compromis », conseille SECUINFRA.
Il est recommandé de modifier les mots de passe de tous les comptes potentiellement concernés et d’activer la protection d’authentification multifacteur dans la mesure du possible.
Le malware, identifié comme Vidar sur la base d’une analyse dynamique et de correspondances de signatures YARA, était caché dans un fichier appelé Pirate.exe comme charge utile (Howard.exe) emballé avec le programme d’installation d’InnoSetup.
Genheimer a déclaré à Breachtrace que l’auteur de la menace avait modifié les fichiers du jeu à plusieurs reprises, en utilisant diverses techniques d’obscurcissement et en modifiant les serveurs de commande et de contrôle pour l’exfiltration des informations d’identification.
Le chercheur estime que les références web3/blockchain/crypto-monnaie dans le nom PirateFi étaient intentionnelles, pour attirer une base de joueurs spécifique
Steam n’a pas publié de chiffres sur le nombre d’utilisateurs touchés par le malware PirateFi, mais les statistiques sur la page du titre montrent que jusqu’à 1 500 personnes peuvent être touchées.
Les logiciels malveillants infiltrant le magasin Steam ne sont pas courants, mais ce n’est pas non plus sans précédent. En février 2023, les utilisateurs de Steam ont été ciblés par des modes de jeu malveillants Dota 2 qui exploitaient un exploit de charme pour exécuter du code à distance sur les ordinateurs des joueurs.
En décembre 2023, un mod pour le jeu de stratégie indépendant alors populaire Slay the Spire a été compromis par des pirates informatiques qui y ont injecté un compte-gouttes d’infostealer « Epsilon ».
Steam a introduit des mesures supplémentaires telles que la vérification par SMS pour protéger les joueurs contre les mises à jour malveillantes non autorisées, mais le cas de PirateFi montre que ces mesures sont insuffisantes.