Ein beliebter Slay the Spire-Mod namens Downfall wurde über die Feiertage kompromittiert und dazu verwendet, über ein Steam-Update Malware an Benutzer weiterzuleiten. Die fragliche Malware heißt Epsilon und wird zum Diebstahl von Informationen von infizierter Hardware verwendet. Sie war am Weihnachtstag etwa eine Stunde lang in der Standalone-Version der Mod auf Steam präsent.
Die Angreifer haben die Steam- und Discord-Konten eines der Entwickler der Mod kompromittiert und so den Zugriff auf das Steam-Konto der Mod ermöglicht. Die Epsilon-Malware wird häufig auf Discord verwendet, oft verpackt mit einer ausführbaren Spieldatei, und sobald sie installiert ist, läuft sie im Hintergrund und sammelt die Cookies der Hardware sowie alle gespeicherten Passwörter oder Kreditkarteninformationen auf dem Gerät oder von Browsern (alles von Google Chrome bis Vivaldi). ).
„Am Weihnachtstag kam es gegen 12:30 Uhr Eastern Time zu einer Sicherheitsverletzung.“ schreibt Entwickler Michael Mayhem. „Gegen 13:20 Uhr ermöglichte dieser Verstoß einem böswilligen Upload, unser Spiel in der Steam-Bibliothek für einen Zeitraum von etwa einer Stunde zu überholen. Unsere Steam- und Discord-Konten wurden gekapert, und obwohl die Steam-Konten spät in der Nacht wiederhergestellt werden konnten Am Abend hatten wir nur begrenzte Möglichkeiten, unmittelbar nach dem Verstoß zu warnen oder zu kommunizieren. Glücklicherweise konnten wir den eigentlichen Verstoß viel schneller eindämmen, als die Wiederherstellung der Konten gedauert hat.“
Der Verstoß wurde gegen 14:30 Uhr Eastern Time eingedämmt und nur Benutzer, die Downfall innerhalb dieses Zeitfensters gestartet haben, waren betroffen (eine vollständige Liste, wer sich bei einem Steam-Update Sorgen machen muss und wer nicht, gibt es). Die Hauptsorge gilt den Benutzern, die ein Popup-Fenster zum Installieren der Unity-Bibliothek gesehen haben
„In Ihren Benutzern/[username]Im Ordner „/AppData/Local/Temp“ wird es mehrere Dateien geben, die der Trojaner erstellt“, schreibt ein betroffener Benutzer. „Eine davon heißt epsilon-[username].zip, das alles enthält, was der Trojaner gestohlen hat: Discord-Informationen, automatische Vervollständigung, gespeicherte Passwörter, Netzwerkinformationen, Cookies, gespeicherte Kreditkarten, Steam-Informationen. WARNUNG: Wenn Sie diese Dateien selbst untersuchen, tun Sie dies, ohne mit dem Internet verbunden zu sein, nur für den Fall, dass immer noch die Möglichkeit besteht, dass ein Ereignis erneut ausgelöst wird.“
Laut Mayhem glaubt ein Sicherheitsexperte, der sich den Verstoß angesehen hat, dass es sich um einen sogenannten „Token-Hijack“ handelte Session-Hijackund der Schaden war minimal, obwohl zu BleepingComputer hinzugefügt dass er „sich weigert, irgendetwas mit absoluter Sicherheit zu sagen“.
Die Entwickler des Mods haben ihrerseits die gesamte betroffene Hardware gelöscht, kommunizieren mit Benutzern und Valve über den Verstoß und führen zusätzliche Sicherheitsmaßnahmen ein, um hoffentlich zu verhindern, dass so etwas noch einmal passiert.
„Ich kann mich bei den betroffenen Nutzern nicht genug entschuldigen“, sagt Mayhem. „Der Gedanke, dass jemand ein Free-Passion-Projekt aus böswilligen Absichten kapern würde, ist wirklich abscheulich. Wenn Sie ein betroffener Benutzer sind, kontaktieren Sie mich bitte und ich werde alles tun, was ich kann, um zu helfen. Downfall ist nichts ohne seine Spieler und die damit verbundene Freude.“ Ich bin entsetzt über den Angriff.
Dies folgt kurz nach der Ankündigung von Valve neue Sicherheitskontrollen über Steam-Entwickler, die jedes Update auf dem Standard-Release-Zweig ihres Spiels veröffentlichen, nachdem es verschiedene Beispiele für bösartige Builds gibt, die über Steam an Spieler weitergegeben werden. Damals teilte Valve PC Gamer mit, dass diese „zusätzliche Reibung“ für Partner ein „notwendiger Kompromiss sei, um Steam-Benutzer zu schützen und Entwickler über mögliche Gefährdungen ihres Kontos informiert zu halten“, und fügte hinzu, dass es „einen Anstieg raffinierter Angriffe“ gegeben habe Entwicklerkonten.
Allen Benutzern von Downfall wird empfohlen, ihre Passwörter zu ändern und sicherzustellen, dass die Zwei-Faktor-Authentifizierung nach Möglichkeit aktiviert ist.