Spread the love en help Indignatie
Een gratis spel met de naam PirateFi in de Steam Store verspreidt de infostealing-malware Vidar onder nietsvermoedende gebruikers.
De titel stond bijna een week in de Steam-catalogus, tussen 6 en 12 februari, en werd door maximaal 1500 gebruikers gedownload. De distributieservice stuurt berichten naar mogelijk getroffen gebruikers, waarin ze worden geadviseerd Windows opnieuw te installeren uit overvloedige voorzichtigheid.
Malware op Steam
PirateFi werd vorige week uitgebracht op Steam door Seaworth Interactive en kreeg positieve recensies. Het wordt beschreven als een survivalgame die zich afspeelt in een low-poly wereld met base building, weapon crafting en food collecting.
Bron: Internet Archive
Eerder deze week ontdekte men dat de game malware bevatte, maar de service gaf niet aan om welk type het precies ging.
“Het Steam-account van de ontwikkelaar van deze game heeft builds geüpload naar Steam die vermoedelijk malware bevatten”, staat in de melding .
“Je hebt PirateFi (3476470) gespeeld terwijl deze builds actief waren, dus het is waarschijnlijk dat deze schadelijke bestanden op je computer zijn gestart”, waarschuwt de service.
De aanbevolen maatregelen voor ontvangers van de melding zijn onder andere het uitvoeren van een volledige systeemscan met een up-to-date antivirusprogramma, het controleren op nieuwe software die ze niet herkennen en het overwegen van een OS-formattering.
Bron: SteamDB
Getroffen gebruikers hebben ook waarschuwingen geplaatst op de Steam Community-pagina van de game. Ze raden anderen aan de game niet te starten, omdat hun antivirusprogramma de game als malware herkent.
Ook wij hebben jou steun nodig in 2025, gun ons een extra bakkie koffie groot of klein.
Dank je en proost?
Wij van Indignatie AI zijn je eeuwig dankbaar
Marius Genheimer van het SECUINFRA Falcon Team kreeg een voorbeeld van de malware die via PirateFi werd verspreid en identificeerde het als een versie van de infostealer Vidar.
“Als u een van de spelers bent die dit ‘spel’ heeft gedownload: houd er dan rekening mee dat de inloggegevens, sessiecookies en geheimen die zijn opgeslagen in uw browser, e-mailclient, cryptocurrency-wallets etc., gecompromitteerd zijn”, adviseert SECUINFRA.
Het is raadzaam om de wachtwoorden van alle mogelijk getroffen accounts te wijzigen en waar mogelijk de beveiliging met multifactorauthenticatie te activeren.
De malware, die op basis van dynamische analyse en YARA-handtekeningovereenkomsten werd geïdentificeerd als Vidar, was verborgen in een bestand met de naam Pirate.exe als een payload ( Howard.exe ) die was verpakt in het InnoSetup-installatieprogramma.
Genheimer vertelde BleepingComputer dat de kwaadwillende partij de gamebestanden meerdere malen had gewijzigd, door gebruik te maken van verschillende verduisteringstechnieken en door de command-and-control-servers te wijzigen om inloggegevens te stelen.
De onderzoeker is van mening dat de verwijzingen naar web3/blockchain/cryptocurrency in de naam PirateFi opzettelijk waren, om een specifieke groep spelers te lokken.
Steam heeft geen cijfers gepubliceerd over hoeveel gebruikers zijn getroffen door de PirateFi-malware, maar de statistieken op de pagina van de titel laten zien dat er mogelijk 1.500 personen getroffen zijn.
Malware die de Steam Store infiltreert, is niet gebruikelijk, maar ook niet ongekend. In februari 2023 werden Steam-gebruikers het doelwit van kwaadaardige Dota 2-spelmodi die gebruikmaakten van een Chrome n-day-exploit om op afstand code uit te voeren op de computers van de spelers.
In december 2023 werd een mod voor de toen populaire indiestrategiegame Slay the Spire gehackt door hackers die er een ‘Epsilon’-infostealer-dropper in injecteerden.
Steam heeft aanvullende maatregelen ingevoerd, zoals verificatie via sms, om spelers te beschermen tegen ongeautoriseerde, schadelijke updates. Het geval van PirateFi laat echter zien dat deze maatregelen niet voldoende zijn.
