Raivo Plavnieks, een videogamestreamer voor fondsenwerving voor kankerbehandeling, verloor meer dan $ 32.000 in cryptocurrency na het downloaden van een gecompromitteerde, geverifieerde game genaamd Blockblasters van het Steam -platform. Blockblasters werd gepubliceerd door Genesis Interactive en was een gratis te spelen 2D-platformer die beschikbaar was op Steam van 30 juli tot 21 september. De game, die honderden ‘zeer positieve’ beoordelingen had verzameld, werd gewijzigd op 30 augustus toen een component van Cryptodrainer werd toegevoegd. De kwaadaardige software werd ontdekt nadat Plavnieks, een streamer bekend als RastalandTV, de geverifieerde game gedownload tijdens een live-uitzending om geld in te zamelen voor zijn behandeling tegen fase 4 hoogwaardige sarcoom.
“Voor iedereen die zich afvraagt wat er aan de hand is met $ kanker live stream … mijn leven werd de hele 24 uur gered totdat iemand in mijn stream afstelde en me een geverifieerd spel op @steam liet downloaden,”
Plavnieks verklaarde na de diefstal. De aanval liet meer dan $ 32.000 uit de cryptocurrency -portemonnee van de Letse gamer, en beïnvloedde fondsen die bedoeld zijn voor zijn medische zorg. Naast zijn streaming fondsenwervers had Plavnieks een GoFundMe -campagne opgezet om donaties te ontvangen, die op het moment van het incident 58% van zijn financiële doel was. Na de openbaarmaking van de diefstal, bevestigde crypto -beïnvloeder Alex Becker dat hij $ 32.500 naar een nieuwe, beveiligde portemonnee voor Plavnieks stuurde, een bedrag bedoeld om het volledige bedrag te dekken dat werd gestolen. De reikwijdte van de aanval reikte verder dan dit enkele incident. Crypto -onderzoeker Zachxbt rapporteerde aan BleepingComputer dat de daders een geschat totaal van $ 150.000 hebben gestolen van 261 afzonderlijke stoomrekeningen. De beveiligingsgroep VXUnderground, die ook de kwaadaardige campagne volgde, documenteerde een hoger aantal slachtoffers en identificeerde 478 getroffen gebruikers. VXUnderground publiceerde vervolgens een lijst met de gecompromitteerde gebruikersnamen en gaf een openbare waarschuwing en drong er bij alle personen op de lijst op aan om hun accountwachtwoorden onmiddellijk te resetten om verdere ongeautoriseerde toegang te voorkomen. Onderzoek naar de aanval geeft aan dat de slachtoffers niet willekeurig zijn gekozen. Rapporten suggereren dat de aanvallers specifiek gericht waren op individuen nadat ze ze op Twitter hadden geïdentificeerd als managers van belangrijke cryptocurrency -bedrijven. Deze gebruikers werden vervolgens vermoedelijk directe uitnodigingen gestuurd om het Blockblaster -spel te proberen. Een technisch rapport van onderzoekers beschreef de functie van de malware en identificeerde een dropper -batchscript dat omgevingscontroles op het systeem van een slachtoffer heeft uitgevoerd. Dit script verzamelde Steam Login-referenties en het IP-adres van de gebruiker en uploadt de gegevens naar een opdracht-en-controleserver. Verdere analyse van GDATA -onderzoeker Karsten Hahn documenteerde het gebruik van een Python -achterdeur en een Stealc -lading, die werden ingezet in combinatie met de batch -stealer. Tijdens het onderzoek merkten beveiligingsexperts een aanzienlijk operationeel beveiligingsfout op van de aanvallers, die hun Telegram BOT -code en authenticatietokens verlieten. Onbevestigde rapporten van open-source inlichtingendeskundigen beweren dat de primaire dreigingsacteur is geïdentificeerd als een Argentijnse immigrant die in Miami, Florida woont. Het incident met Blockblasters is een van de vele recente gevallen van malware die op Steam zijn verspreid, na soortgelijke aanvallen eerder in het jaar met betrekking tot de Games Chemia, Sniper: Phantom’s Resolution en Piratefi.
