Больной раком стример потерял свои сбережения из-за вируса в видеоигре, а аргентинцу, проживающему в Майами, предъявлены обвинения.

Дело в Твиттере обострилось после того, как администратор известного вредоносного сайта VX Underground под псевдонимом «Smelly» опубликовал видео плачущей жертвы. С тех пор он начал намекать, что это розыгрыш.

Различные исследователи, которых пользователь «Smelly» в Twitter прозвал «ботаниками», проанализировали вредоносное ПО и утверждают, что обнаружили учётные данные в коде, который отправлял украденные данные в канал Telegram. Подключившись к этому каналу с теми же учётными данными, они обнаружили сообщения и пользователей, связанных с этой операцией, и использовали эти идентификаторы для отслеживания публичных профилей на других платформах.

Это СМИ связались с одним из исследователей , которому удалось разрушить инфраструктуру злоумышленников , и составили экспертный отчет : «Игра доступна для загрузки в Steam любому человеку вместе с «манифестом» всех файлов, из которых она состоит. Я заглянул туда и обнаружил исходный код на виду, было совершенно ясно, что делала программа. Там я нашел ее инфраструктуру, которая содержала всю информацию о ее жертвах, а также код, который позволял им управлять ею через бота Telegram. Этому боту нужно было войти в систему с учетными данными, но... Они оставили их видимыми для всех в коде, и оттуда нам удалось проникнуть и разрушить инфраструктуру», — пояснил 1989 , независимый исследователь безопасности.

Получив доступ к боту Telegram, они обнаружили аккаунты в социальных сетях, которые вели к предполагаемому личному профилю мужчины по имени « Валентин », аргентинца, живущего в Майами и публикующего фотографии себя в роскошных автомобилях и различные откровения о своей личной жизни. Несколько аккаунтов сделали его фотографии вирусными, и вскоре он был удалён.

Объект поговорил с Максимилиано Фиртманом , программистом, загрузившим видео в Twitter, в котором молодой человек отрицает, что совершил атаку, и говорит, что занимается «покупкой и продажей аккаунтов в социальных сетях», что является серой практикой, которая не редкость среди инфлюенсеров.

Эта цепочка улик соответствует техническому открытию, полученному с использованием методов открытой разведки (OSINT, то есть получение информации, общедоступной в Интернете, например, в социальных сетях и на форумах, для проведения расследования), но до сих пор нет официального источника, связывающего аргентинца с атакой.

Атака стала возможной, поскольку платформа видеоигр Steam позволяет загружать зараженные игры.

«Это была игра, специально разработанная для отвлечения жертв, в то время как конфиденциальные данные похищались за кулисами, позволяя преступникам получать доступ к целевым кошелькам. Эти данные могли включать в себя учетные данные, файлы и данные браузера. Существует два варианта: если перевод денег автоматически инициируется этой вредоносной программой, мы говорим о сливщике . Если преступникам приходилось обрабатывать эту информацию и взаимодействовать с ней со своей стороны, чтобы осуществить перевод (получив все необходимое для этого), мы говорим о похитителе », — пояснил в интервью Clarín независимый аналитик вредоносных программ Агустин Мерло.

Утилизаторы криптовалют очень распространены в экосистеме криптовалют. «Утилизатор криптовалют — это инструмент, предназначенный для автоматизации перевода средств из кошелька жертвы в кошелёк, контролируемый киберпреступником в криптоиндустрии», — добавляет он.

«Данные подтверждают масштаб этой проблемы: в отчёте IC3 о криптовалютах за 2023 год проанализировано около 69 500 жалоб, связанных с криптовалютами, и установлено, что мошенничество с криптовалютами стало причиной почти 50% от общего объёма потерь, составивших 5,6 млрд долларов США, что на 45% больше, чем в 2022 году. Эта ошеломляющая статистика подчёркивает, насколько распространённым и серьёзным стало это нарушение», — рассказал изданию Сатнам Наранг, старший научный сотрудник Tenable Research.

Это в первую очередь затрагивает «компании, работающие в сфере криптовалют, целью которых является не опустошение кошелька отдельного пользователя, а попытка взломать учётные записи, имеющие доступ к внутренним системам или инструментам, которые могут принести значительную финансовую выгоду. Именно поэтому многие криптовалютные биржи и децентрализованные финансовые приложения рассматриваются в качестве целей, ведь именно там злоумышленники могут найти десятки миллионов долларов для кражи», — добавляет он.

Основная проблема в данном случае заключается в том, что Steam, принадлежащий Valve, одной из крупнейших в мире компаний по производству видеоигр, разрешил загрузку заражённой игры. Это связано с процессом, позволяющим обновлять игру после её загрузки на платформу без дополнительной проверки.

«Процесс загрузки игры в Steam относительно прост. После оплаты установленной платы, которая в настоящее время составляет 100 долларов, вам необходимо предоставить основную информацию об игре, которую игроки увидят в магазине Steam, загрузить референсные изображения, описание игры и другие данные. После выполнения всех необходимых условий Steam запрашивает у платформы версию игры для проверки и предварительного одобрения, что занимает от 3 до 5 рабочих дней», — рассказал Патрисио Марин, аргентинский разработчик видеоигр.

Автор книги «Pretend Cars Racing» Марин отмечает, что проблема кроется в обновлениях игры: «После того, как ваша игра одобрена и загружена, все последующие обновления публикуются немедленно, без необходимости дополнительного одобрения, независимо от того, насколько малы или велики изменения в игре ». Это открывает путь к заражению видеоигры, как это и произошло в данном случае.

Исследователям удалось добиться того, чтобы компании, занимающиеся безопасностью, начали помечать образцы программного обеспечения как опасные, в том числе Virus Total, ведущая компания по выявлению вредоносных программ. После этого Steam заблокировал игру.

Помимо технического расследования, эта история мобилизовала игровое и криптосообщество. Предприниматель и ютубер Алекс Беккер пожертвовал 30 000 долларов, чтобы компенсировать ущерб, а другие пользователи предложили свои взносы. «Более 50 специалистов работают вместе, чтобы компенсировать ущерб», — подытожил один из участников исследования.

Это дело вызвало резонанс в криптосообществе и спровоцировало самосуд в социальных сетях. В остальном расследование продолжается, и официальных обвинений пока не предъявлено. Единственным конкретным доказательством является обнаружение вредоносного ПО в игре, опубликованной в Steam, платформе, которая уже удалила её, что свидетельствует о проблеме в системе контроля за контентом, доступным для скачивания пользователями.

• Криптовалюты
• Кибербезопасность