Downfall, une extension pour les fans du populaire jeu de stratégie indépendant Slay the Spire, a été piratée le jour de Noël pour pousser le malware Epsilon voleur d’informations à l’aide du système de mise à jour Steam.

Comme l’a déclaré le développeur Michael Mayhem à Breachtrace, le package compromis est la version modifiée autonome préemballée du jeu original et non un mod installé via Steam Workshop.

« L’un de nos appareils a été touché par un logiciel malveillant qui n’a pas été signalé ou bloqué par la sécurité que nous avions en cours d’exécution. Pour autant que je sache actuellement, ce n’était pas un malware volant un mot de passe car 2FA n’a pas déclenché ou arrêté cela, et parmi les comptes compromis, tous étaient sous des adresses e-mail différentes (et aucune de ces adresses elles-mêmes n’a été volée) », a déclaré Mayhem à Breachtrace, en disant qu’il est « réticent à déclarer quoi que ce soit avec une certitude absolue » jusqu’à ce qu’il obtienne une évaluation professionnelle.

« Cela nous a amenés à croire qu’il s’agissait plutôt d’un détournement de jetons (comme nous l’a suggéré un professionnel de la sécurité), conçu spécifiquement pour détourner Steam et l’utiliser pour télécharger et Discorder pour empêcher les utilisateurs d’avertir, mais ce n’est pour le moment que de la spéculation. »

Les attaquants ont compromis l’un des comptes Steam et Discord des développeurs de Downfall, leur permettant de prendre le contrôle du compte Steam du mod.

« La fenêtre de brèche était approximativement de 13h30 à 14h30 Est (1830-1930 UTC + 0) le 25/12. Si vous avez lancé Downfall le 25/12 pendant la fenêtre de violation et que vous avez obtenu une fenêtre contextuelle d’installation de la bibliothèque Unity, veuillez continuer à lire. Vous pouvez également être à risque. La faille de sécurité a permis à un téléchargement malveillant de remplacer le jeu emballé Downfall », a déclaré Mayhem dans un communiqué publié mercredi.

Une fois installé sur un ordinateur compromis, le malware collectera des cookies et des mots de passe enregistrés et des cartes de crédit à partir de navigateurs Web (Google Chrome, Yandex, Microsoft Edge, Mozilla Firefox, Brave, Vivaldi), ainsi que des informations Steam et Discord.

Il recherchera également les documents contenant un « mot de passe » dans les noms de fichiers et d’autres informations d’identification, y compris la connexion Windows locale et le télégramme.

Identifiants de récolte de logiciels malveillants Epsilon

​Il est conseillé aux utilisateurs de changer tous les mots de passe importants, en particulier ceux des comptes non protégés par 2FA (authentification à 2 facteurs).

Les utilisateurs qui ont reçu la mise à jour malveillante ont signalé que le logiciel malveillant s’installerait en tant qu’application Windows Boot Manager dans le dossier AppData ou en tant que UnityLibManager dans le dossier /AppData/Roaming.

Epsilon Stealer est un malware de vol d’informations vendu via Telegram et Discord à d’autres acteurs de la menace. Il est couramment utilisé pour cibler les joueurs sur Discord en les incitant à installer le logiciel malveillant sous prétexte de tester un nouveau jeu à la recherche de bugs en échange d’un paiement.

Cependant, une fois le jeu installé, il déploie également le logiciel malveillant qui s’exécute en arrière-plan et vole les mots de passe, les détails de la carte de crédit et les cookies d’authentification de l’utilisateur.

Les informations volées sont soit utilisées par les acteurs de la menace pour pirater d’autres comptes, soit vendues sur des places de marché Dark Web.

Selon les données de VirusTotal, il est probable que l’auteur de la menace à l’origine de cette attaque ait également ciblé d’autres jeux et développeurs de jeux.

Autres fichiers contenant les mêmes informations-vol de logiciels malveillants

La vapeur renforce la sécurité
En octobre, Valve a annoncé qu’il exigeait désormais des contrôles de sécurité basés sur SMS de la part des développeurs de jeux poussant une mise à jour sur la branche de publication par défaut sur Steam.

La décision a été prise en réponse à un nombre croissant de comptes Steamworks compromis utilisés pour télécharger des versions de jeux malveillants afin d’infecter les joueurs avec des logiciels malveillants à partir de la fin août.

« Dans le cadre d’une mise à jour de sécurité, tout paramètre de compte Steamworks créé en direct sur la branche par défaut/publique d’une application publiée devra avoir un numéro de téléphone associé à son compte afin que Steam puisse vous envoyer un code de confirmation par SMS avant de continuer », Valve a déclaré en octobre.

« La même chose sera vraie pour tout compte Steamworks qui a besoin d’ajouter de nouveaux utilisateurs. Ce changement sera mis en ligne le 24 octobre 2023, alors assurez-vous d’ajouter un numéro de téléphone à votre compte maintenant. Nous prévoyons également d’ajouter cette exigence pour d’autres actions Steamworks à l’avenir. »

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *