Raivo Plavnieks, uma arrecadação de fundos de streamer de videogame para tratamento de câncer, perdeu mais de US $ 32.000 em criptomoeda depois de baixar um jogo verificado e comprometido chamado Blockblasters da plataforma Steam. Publicado pela Genesis Interactive, o Blockblasters foi um jogo de plataformas 2D gratuito disponível no Steam de 30 de julho a 21 de setembro. O jogo, que acumulou centenas de críticas “muito positivas”, foi alterado em 30 de agosto quando um componente criptodrainer foi adicionado. O software malicioso foi descoberto depois que Plavnieks, uma serpentina conhecida como Rastalandtv, baixou o jogo verificado durante uma transmissão ao vivo para arrecadar fundos para seu tratamento contra o sarcoma de alta qualidade do estágio 4.
“Para quem se pergunta o que está acontecendo com $ Cancer Live Stream … minha vida foi salva durante todas as 24 horas até que alguém sintonizou meu riacho e me levou a baixar um jogo verificado no @steam”.
Plavnieks declarou após o roubo. O ataque drenou mais de US $ 32.000 da carteira de criptomoeda do jogador da Letônia, impactando os fundos destinados a seus cuidados médicos. Além de seus angariadores de fundos, Plavnieks estabeleceu uma campanha do GoFundMe para receber doações, que era de 58% de sua meta financeira no momento do incidente. Após a divulgação pública do roubo, o influenciador de criptografia Alex Becker confirmou que ele enviou US $ 32.500 a uma nova carteira segura para Plavnieks, uma quantia destinada a cobrir a soma completa que foi roubada. O escopo do ataque se estendeu além desse único incidente. O investigador de criptografia Zachxbt relatou ao BleepingComputer que os autores roubaram um total estimado de US $ 150.000 em 261 contas de vapor separadas. O grupo de segurança VXunderground, que também monitorou a campanha maliciosa, documentou uma contagem mais alta de vítimas, identificando 478 usuários afetados. A VXunderground publicou posteriormente uma lista dos nomes de usuário comprometidos e emitiu um aviso público pedindo a todos os indivíduos da lista que redefinam imediatamente suas senhas de conta para evitar mais acesso não autorizado. Pesquisas sobre o ataque indicam que as vítimas não foram escolhidas aleatoriamente. Os relatórios sugerem que os invasores direcionaram especificamente indivíduos depois de identificá -los no Twitter como gerentes de participações significativas em criptomoedas. Presumivelmente, esses usuários foram enviados convites diretos para experimentar o jogo Blockblasters. Um relatório técnico de pesquisadores detalhou a função do malware, identificando um script de lotes de conta -gotas que executava verificações de ambiente no sistema de uma vítima. Este script coletou credenciais de login de vapor e o endereço IP do usuário, enviando os dados para um servidor de comando e controle. Uma análise mais aprofundada do pesquisador do GDATA Karsten Hahn documentou o uso de uma porta backdoor do Python e uma carga útil da Stealc, que foi implantada em conjunto com o ladrão de lotes. Durante a investigação, os especialistas em segurança observaram uma falha significativa de segurança operacional dos invasores, que deixaram o código do Telegram Code e os tokens de autenticação expostos. Relatórios não confirmados de especialistas em inteligência de código aberto afirmam que o ator principal de ameaças foi identificado como um imigrante argentino residente em Miami, Flórida. O incidente do Blockblasters é um dos vários casos recentes de malware distribuídos no Steam, após ataques semelhantes no início do ano, envolvendo os jogos Chemia, Sniper: Phantom’s Resolution e Piratefi.
