EncryptHub adlı bir tehdit aktörü, Steam’deki bir oyunu ele geçirerek, oyunu indiren farkında olmayan kullanıcılara bilgi çalan kötü amaçlı yazılım (infostealer) dağıttı.
Birkaç gün önce, aynı zamanda Larva-208 olarak da takip edilen hacker, Steam’de barındırılan Chemia oyun dosyalarına zararlı ikili dosyalar (binary) enjekte etti.
Chemia, geliştirici Aether Forge Studios tarafından sunulan bir hayatta kalma ve üretim (survival crafting) oyunudur. Şu anda Steam üzerinde erken erişimde sunulmakta olup, henüz resmi bir çıkış tarihi bulunmamaktadır.
Source: BleepingComputer
Tehdit istihbarat şirketi Prodaft’a göre, ilk güvenlik ihlali 22 Temmuz’da gerçekleşti. Bu tarihte EncryptHub, oyun dosyalarına HijackLoader adlı kötü amaçlı yazılımı (CVKRUTNP.exe) ekledi. Bu zararlı yazılım, kurbanın cihazında kalıcılık sağlıyor ve ardından Vidar infostealer (v9d9d.exe) adlı bilgi çalan zararlıyı indiriyor.
Araştırmacılar, bu zararlının komuta ve kontrol (C2) adresini bir Telegram kanalı üzerinden aldığını tespit etti.
İkinci kötü amaçlı yazılım olan Fickle Stealer, yalnızca üç saat sonra DLL dosyası (cclib.dll) aracılığıyla Chemia oyununa eklendi. Bu dosya, PowerShell (worker.ps1) kullanarak ana zararlıyı soft-gets[.]com adresinden indiriyor.
Fickle Stealer, web tarayıcılarında depolanan hesap bilgileri, otomatik doldurma verileri, çerezler ve kripto cüzdan verilerini toplayan bir **bilgi hırsızı (info-stealer)**dır.
EncryptHub, aynı zararlıyı geçtiğimiz yıl düzenlediği büyük çaplı spear-phishing (hedefli oltalama) ve sosyal mühendislik kampanyasında da kullandı. Bu kampanya dünya genelinde 600’den fazla kurumu etkiledi.
Bu tehdit aktörü, siber suç dünyasında sıradışı bir örnek olarak öne çıkıyor. Çünkü hem Windows sıfırıncı gün açıklarını kötüye kullanan saldırılarla hem de Microsoft’a kritik açıkları sorumlu şekilde bildiren açıklamalarla ilişkilendiriliyor.
Prodaft’ın BleepingComputer ile paylaştığı raporda şu ifadeye yer veriliyor:
“Ele geçirilen çalıştırılabilir dosya, Steam üzerinden indirildiğinde kullanıcılar tarafından meşru gibi görünüyor. Bu da, geleneksel aldatma tekniklerinden ziyade platform güvenine dayanan etkili bir sosyal mühendislik unsuru yaratıyor.”
Araştırmacılar şunu da ekliyor:
“Kullanıcılar ücretsiz oyunlar arasında buldukları bu oyunun Playtest sürümüne tıkladıklarında aslında kötü amaçlı yazılım indiriyorlar.”
Source: Prodaft
Prodaft, kötü amaçlı yazılımın arka planda çalıştığını ve oyunun performansını etkilemediğini, bu nedenle oyuncuların sistemlerinin tehlikeye girdiğinden habersiz olduklarını belirtiyor.
EncryptHub‘ın kötü amaçlı dosyaları oyun projesine nasıl eklemeyi başardığı net değil, ancak bunun olası açıklamalarından biri, içeriden birinin yardım etmiş olması olabilir. Oyunun geliştiricisi şu ana kadar Steam sayfasında veya sosyal medyada herhangi bir resmî açıklama yayımlamış değil.
BleepingComputer, konuyla ilgili görüş almak üzere hem Chemia geliştiricileriyle hem de Valve ile iletişime geçtiğini; yanıt aldığında haberin güncelleneceğini bildirdi.
Bu sırada oyun hâlâ Steam üzerinden indirilebilir durumda ve en son sürümün temiz mi yoksa hâlâ zararlı yazılım içerip içermediği belirsiz. Steam’den resmî bir açıklama gelene kadar oyundan uzak durulması tavsiye ediliyor.
Bu, 2025 yılı içinde Steam’e sızan üçüncü kötü amaçlı yazılım vakası oldu. Önceki örnekler:
Mart ayında “Sniper: Phantom’s Resolution”
Şubat ayında ise “PirateFi” oyunları
Bu üç olayda da oyunlar erken erişim (early access) aşamasındaydı ve henüz kararlı sürümde değillerdi. Bu durum, Steam’in bu tür oyunlarda daha gevşek inceleme prosedürlerine sahip olabileceğini düşündürüyor. Bu nedenle, henüz tamamlanmamış (work-in-progress) oyunları indirirken dikkatli olunması şiddetle öneriliyor.
🔍 EncryptHub saldırısına ait zararlı yazılım göstergeleri (IOC’ler) buradayayınlandı.
