Minggu lalu, Valve telah mengeluarkan satu permainan dari kedai dalam talian Steam kerana produk tersebut dicemari dengan perisian hasad.
Setelah penarikan permainan, yang dikenali sebagai PirateFi, penyelidik keselamatan menganalisis perisian hasad dan mendapati siapa yang memasangnya mengubah suai satu permainan video sedia ada dalam usaha untuk menipu para pemain agar memasang penjarah maklumat yang dipanggil Vidar.
Marius Genheimer, seorang penyelidik yang menganalisis perisian hasad dan bekerja di Pasukan Falcon SECUINFRA, memberitahu TechCrunch bahawa berdasarkan pelayan kawalan dan mengawal yang dikaitkan dengan perisian hasad dan konfigurasinya, "kami menduga bahawa PirateFi hanyalah salah satu taktik yang digunakan untuk menyebarkan muatan Vidar secara meluas."
"Sangat mungkin ia bukanlah satu permainan yang sah, yang diubah suai selepas penerbitan pertama," kata Genheimer.
Dengan kata lain, PirateFi direka untuk menyebarkan perisian hasad.
Genheimer dan rakan sepasukannya juga mendapati bahawa PirateFi dibina dengan mengubah suai templat permainan sedia ada yang dikenali sebagai Easy Survival RPG, yang mengiklankan dirinya sebagai aplikasi pembuat permainan yang "memberi anda segala-galanya yang anda perlukan untuk membangunkan permainan tunggal atau bermain lebihan anda sendiri." Pembuat permainan ini berharga antara $399 dan $1,099 untuk lesen.
Ini menjelaskan bagaimana penjenayah dapat menghantar permainan video berfungsi dengan perisian hasad mereka dengan usaha yang sedikit.
Menurut Genheimer, perisian hasad Vidar mampu mencuri dan mengeluarkan beberapa jenis data dari komputer yang dijangkiti, termasuk: kata laluan dari ciri autofill pelayar web, kuki sesi yang boleh digunakan untuk log masuk sebagai seseorang tanpa perlu kata laluan mereka, sejarah pelayar web, butiran dompet mata wang kripto, tangkapan skrin, dan kod dua faktor dari pembangkit token tertentu, serta fail lain dalam komputer individu itu.
Vidar telah digunakan dalam beberapa kempen penggodaman, termasuk satu yang cuba mencuri kelayakan hotel Booking.com, yang lain dengan tujuan menyebarkan ransomware, dan usaha lain untuk menanam iklan berbahaya dalam hasil carian Google. Menurut Pusat Koordinasi Keselamatan Siber Sektor Kesihatan (HC3) semasa tahun 2024, Vidar, yang pertama kali ditemui pada tahun 2018, "telah menjadi salah satu perisian hasad yang paling berjaya."
Perisian hasad adalah jenis perisian hasad yang direka untuk mencuri maklumat dan data dari komputer mangsanya. Perisian hasad sering dijual dalam model perkhidmatan perisian hasad, bermaksud perisian hasad boleh dibeli dan digunakan walaupun oleh penjenayah dengan sedikit kemahiran. Ini juga menjadikan pengenalpastian siapa yang berada di belakang PirateFi "sangat sukar," kata Genheimer, kerana Vidar "dimiliki secara meluas oleh banyak penjenayah siber."
Genheimer berkata mereka menganalisis beberapa sampel perisian hasad yang termasuk dalam PirateFi, satu ditemui dalam repositori perisian hasad dalam talian VirusTotal, yang jelas dimuat naik oleh seorang pemain gim di Rusia; yang lain mereka kenal pasti melalui SteamDB, laman web yang menerbitkan maklumat mengenai permainan yang dihoskan di Steam. Para penyelidik mendapati sampel lain dalam pangkalan data intelligence ancaman yang mereka akses. Ketiga-tiga sampel perisian hasad mempunyai fungsi yang sama, menurut Genheimer.
Valve tidak menjawab permintaan perbincangan TechCrunch.
Seaworth Interactive, pembangun purported PirateFi, tidak mempunyai kehadiran dalam talian yang ketara. Sehingga minggu lalu, permainan itu mempunyai akaun X, yang kini telah dikeluarkan. Akaun tersebut termasuk pautan ke permainan di Steam.
Pemilik akaun itu tidak menjawab permintaan untuk bersembang melalui Mesej Terus sebelum dikeluarkan.
Hubungi Kami
Adakah anda mempunyai maklumat lanjut tentang perisian hasad ini, atau gangguan permainan video lain yang berkaitan? Dari peranti dan rangkaian bukan layanan, anda boleh menghubungi Lorenzo Franceschi-Bicchierai secara selamat di Signal di +1 917 257 1382, atau melalui Telegram dan Keybase @lorenzofb, atau e-mel. Anda juga boleh menghubungi TechCrunch melalui SecureDrop.
