Gry, które infekują: o rosnącym problemie złośliwego oprogramowania

Często w naszych wpisach ostrzegających przed złośliwym oprogramowaniem, doradzamy żeby oprogramowanie pobierać jedynie z oficjalnych źródeł. Niestety nawet na oficjalnych platformach i uznawanych za bezpieczne mogą znaleźć się złośliwe pliki, których celem będą dane użytkownika. Jeszcze niedawno wydawało się, że największym zagrożeniem dla graczy są cracki do gier, mody i treści pobierane z torrentów. Dziś sytuacja wygląda poważniej.

W ostatnim czasie to oficjalne tytuły dostępne na platformie Steam okazują się nośnikiem złośliwego oprogramowania, a cyberprzestępcy znajdują w nich skuteczny sposób dotarcia do użytkowników, którzy ufają, że to co kupują i pobierają jest bezpieczne dla ich komputerów.

Ataki na graczy w przeszłości

Ataki na graczy nie są niczym nowym – zmieniają się jedynie metody. Wraz z rozwojem rynku gamingowego, już od początkowych lat 2000, pirackie wersje gier i cracki były jednym z najczęstszych sposobów rozprzestrzeniania złośliwego oprogramowania. Popularne serie, takie jak The Sims, Grand Theft Auto czy Need for Speed, często pojawiały się na torrentach  z dodanymi złośliwymi dodatkami.

W kolejnych latach cyberprzestępcy przenieśli swoje działania do świata cyfrowej dystrybucji i społeczności graczy. Pojawiły się fałszywe launchery, mody oraz aktualizacje podszywające się pod znane tytuły. W sieci krążyły zainfekowane wersje gier, które instalowały keyloggery wykradające dane logowania do platform dystrybuujących treści cyfrowe. Na przykład mody do Minecrafta rozprzestrzeniały trojana typu RAT (ang. Remote Administration Tool), pozwalającego zdobyć zdalny dostęp do komputera. To zagrożenie pojawia się nadal i więcej o tym można znaleźć w naszym artykule. Ciekawym przypadkiem był też incydent z lat 2018-2021, gdy piracka wersja Grand Theft Auto V zawierała oprogramowanie pozwalające kopać kryptowaluty. Malware znacznie obciążało procesory użytkowników, powodowało zużywanie podzespołów komputera oraz miało wpływ na rachunki za prąd. Te przykłady pokazują, że od czasów torrentów po współczesne rozwiązania, jedno pozostaje niezmienne – zaufanie graczy do pozornie „darmowych” lub łatwo dostępnych gier niezmiennie stanowi dla cyberprzestępców skuteczną furtkę do infekcji.

Poza pirackimi wersjami gier, fałszywymi instalatorami czy złośliwymi modami, zdarzało się, że infrastruktura producenta została zaatakowana. W efekcie takich incydentów złośliwy kod mógł trafić na komputery wraz z autentycznym programem lub jego aktualizacją. Głośnym przykładem jest atak na twórcę znanego oprogramowania CCleaner kilka lat temu. Hakerzy zdobyli dostęp, a następnie wstrzyknęli do środowiska deweloperskiego malware. W wyniku ich działań przez około miesiąc użytkownicy pobierając plik z oficjalnej strony infekowali swoje urządzenia. O tym, jak złośliwe oprogramowanie dostaje się na komputer można przeczytać w artykule na naszej stronie. Niestety zdarzało się też, że twórcy celowo dodawali złośliwą funkcjonalność do gry podczas aktualizacji.

Złośliwe oprogramowanie na platformie Steam

Głośnym przypadkiem infekcji gry, była Dota 2, gdzie atakujący umieścili złośliwy kod w trybie społeczności dostępnym w sklepie Steama. Tryb ten to funkcja Steama, które pozwala fanom i moderom tworzyć i publikować własną zawartość w ramach istniejących gier. Najczęściej dotyczy to warsztatu Steam (ang. Steam Workshop). Nie było to celowe działanie producenta gry ani naruszenie jego infrastruktury. Badacze z Avast Threat Labs odkryli kilka modyfikacji, które zawierały plik umożliwiający wykonanie dowolnych poleceń systemowych oraz eksploatację podatności w silniku V8 JavaScript.

Dzięki temu przestępcy mogli uzyskać zdalny dostęp do komputerów graczy i wykonywać na nich własny kod – od kradzieży danych po instalowanie dodatkowego złośliwego oprogramowania. Choć liczba ofiar była niewielka, bo niecałe 200 graczy, przypadek ten pokazał, że nawet tryby społecznościowe mogą stać się wektorem ataku.

PirateFi

Jednym z pierwszych alarmujących przypadków była opublikowana przez Seaworth Interactive gra PirateFi. Produkt trafił na platformę Steam na początku lutego 2025 r. jako niskobudżetowa produkcja. Po jej pobraniu i uruchomieniu, system użytkownika infekowany był trojanem Vidar Stealer – jednym z popularniejszych narzędzi do kradzieży danych oraz plików cookies w celu przejęcia sesji logowania. Złośliwy kod był ukryty w pliku Pirate.exe, który w tle uruchamiał dodatkowy proces i ukrywał swoją obecność..

Vidar mógł wykradać też klucze prywatne portfeli kryptowalutowych. Twórca gry pozostał anonimowy, a jego konto usunęła platforma po incydencie.

Chemia

Kilka miesięcy później, w lipcu, pojawiła się nowa gra Chemia, której pliki zostały zmodyfikowane przez grupę EncryptHub. W jej strukturze znaleziono HijackLoader, który pobierał kolejno dwa rodzaje malware – Vidar Stealer oraz Fickle Stealer. Oba trojany miały podobne funkcje, czyli wykradanie danych, plików cookies i danych z portfeli kryptowalutowych. Działały w tle, pobierając dodatkowe skrypty, a także komunikując się z serwerami atakujących (ang. command-and-control).

Ofiary nie miały świadomości infekcji, bo gra działała poprawnie, a złośliwy kod nie obciążał systemu. To kolejny przypadek w krótkim czasie, w którym gra w fazie Early Access została wykorzystana jako nośnik malware. Wiele serwisów branżowych, jak np. Sekurak, twierdzi, że gra od samego początku miała być jedynie koniem trojańskim. Bardzo podstawowy opis, niedopracowane elementy graficzne widoczne na prezentowanych zrzutach, wszystko żeby spełnić minimalne warunki do zatwierdzenia na platformie.

BlockBlasters

Kolejny głośny incydent miał miejsce niedawno, we wrześniu, i dotyczył gry BlockBlasters, która posłużyła do kradzieży kryptowalut o wartości ponad 32 tysięcy dolarów. Ofiarą padł łotewski streamer Raivo Plavnieks, znany jako RastalandTV.

Aktualizacja gry zawierała pliki wsadowe, a także skrypty, które uruchamiały złośliwe archiwum, dodając jego zawartość do wyjątków w antywirusie Microsoft Defender, co utrudniało wykrycie i usunięcie kampanii. Następnie uruchamiano dwa procesy. Pierwszy był backdoorem, drugi infostealerem. Backdoor (Client-built2.exe) dawał atakującym zdalny dostęp do zainfekowanego systemu i możliwość wykonywania poleceń za pomocą serwera C&C. Infostealer (Block1.exe) koncentrował się na kradzieży informacji: wyciągał pliki cookies oraz zapisane hasła z przeglądarek, dane innych kont oraz pliki związane z portfelami kryptowalutowymi.  Atak był dobrze przygotowany i ewidentnie wymierzony w posiadaczy kryptowalut. Szczegółowa analiza złośliwej zawartości została opublikowana na blogu G-DATA.

Bezpieczeństwo na Steam

Choć każdy z incydentów wyglądał nieco inaczej, łączy je kilka wspólnych cech. Wszystkie wykorzystywały zaufanie graczy do platformy Steam. W każdym przypadku malware ukryto w pozornie legalnej, zweryfikowanej grze, modzie lub aktualizacji, zwykle w fazie Early Access.

Dominowały infostealery i backdoory, których celem była kradzież danych logowania, plików cookies z przeglądarek oraz portfeli kryptowalutowych. Złośliwe oprogramowanie działało w tle, unikając wykrycia przez antywirusy.

W kilku przypadkach atak poprzedzało stworzenie fikcyjnego studia publikującego tylko jeden tytuł. To pokazuje, jak łatwo wykorzystać lukę w systemie weryfikacji Steam – platforma nie wykonuje automatycznego skanowania antywirusowego gier ani ich aktualizacji. Powody są techniczne, prawne i praktyczne, ale to temat na osobny artykuł.

Podsumowanie

Najważniejszą zasadą w tym przypadku jest ograniczone zaufanie. To, że oprogramowanie jest dostępne na Steam czy innej znanej platformie, nie jest gwarancją bezpieczeństwa. Użytkownicy powinni zachować ostrożność wobec nowych produktów, szczególnie publikowanych przez nieznanych wydawców. Chcesz wiedzieć, jak nie stracić konta na Steamie? Przeczytaj nasz wpis.

Nie chcę tu jednak doradzać instalować ich jedynie na systemach wirtualnych lub kupować osobnych komputerów – podstawowe zasady cyberhigieny powinny być nadal wystarczające.

Co robić?:

• Pobieraj gry tylko z oficjalnych, zweryfikowanych kont i wydawców. W przypadku nieznanych tytułów sprawdź reputację producenta.
• Unikaj natychmiastowego instalowania nowo opublikowanych gier – wstrzymaj się kilka dni, sprawdź opinie, forum, społeczność.
• Używaj aktualnego i działającego w tle oprogramowania antywirusowego.
• Stosuj silne hasła oraz weryfikację dwuetapową na wszystkich kontach (Steam, Discord, Facebook). 2FA nie uchroni przed kradzieżą sesji logowania, ale haseł już tak. Więcej o tym przeczytasz w naszym artykule.
• Używaj zwykłego konta użytkownika, a nie konta z uprawnieniami administratora – może to ograniczyć skutki ewentualnej infekcji.
• Monitoruj komunikaty od platform dystrybucyjnych – Steam po otrzymaniu informacji o złośliwych plikach zamieszczonych na ich platformie informował o tym graczy.
• Jeśli posiadasz kryptowaluty, nie przechowuj kluczy prywatnych, passkey czy danych logowania do nich na komputerze w formie plików tekstowych czy zrzutów ekranu. Złośliwe oprogramowanie stara się wyszukać i wykraść takie dane z urządzeń. Kryptowaluty najlepiej przechowywać na portfelach offline.