🙄 Steam вновь в центре внимания из-за 🦠вредоносной демо-игры Sniper Phantom’s Resolution
🙄 Steam вновь в центре внимания из-за 🦠вредоносной демо-игры Sniper Phantom’s Resolution
Платформа Steam снова оказалась в центре скандала после того, как сообщество пользователей обнаружило, что демо-версия игры Sniper: Phantom’s Resolution является замаскированным инфостилером. 😱 После шквала сообщений от энтузиастов в адрес компании Valve — игру оперативно удалили с платформы.
Игра "Sniper: Phantom’s Resolution" была анонсирована в Steam с запланированным релизом во втором квартале 2025 года. Дабы не привлекать внимание антивирусных движков разработчик игры в самом Steam на оф.странице оставил сайт, где, как утверждалось, можно скачать демо-игру.
👋 Геймерам при переходе по внешним ссылкам (сайт + потом еще один сторонний сайт) предлагалось установить подозрительный файл SmartScreen.exe (Windows Defender), которых требовал права администратора.
⚠️Согласно сообщениям пользователей реддит, анализ в 💻 изолированной среде выявил все признаки инфостилера: утилита elevate.exe для повышения привилегий, Node.js-обёртка wincrypt для работы с Windows API шифрования [он может использоваться для дешифровки сохранённых паролей, токенов или других защищённых данных], обфусцированные скрипты и закрепление в автозагрузке под названием updater.lnk. Вредонос связывался с репозиторием на GitHub, чтобы подтянуть дополнительные вредоносные модули.
Запускался также инструмент перехвата и анализа сетевого трафика Fiddler, который может использоваться для кражи токенов аутентификации, cookies и другой информации, передаваемой в браузере. Создавалась постоянная точка запуска updater.lnk, ссылающаяся на вредоносный исполняемый файл, размещённый в папке AppData, тем самым обеспечивая устойчивость малвари при перезапуске системы.
Примечательно, что домен сайта был зарегистрирован через Porkbun всего за 11 дней до инцидента.
Сам разработчик Sierra Six Studios попытался опровергнуть свою причастность к инциденту. По его словам, кто-то другой создал поддельный сайт и разместил там вредоносный файл, выдавая себя за его студию. Он настаивает на том, что стал "жертвой подставы".
"Мы хотим сообщить вам, что наша игра Sniper: Phantom's Resolution будет доступна исключительно в Steam. Любые другие сайты, ссылки или предложения, утверждающие, что наша игра доступна вне Steam, являются мошенническими и могут представлять угрозу безопасности.
Чтобы избежать мошенничества и потенциальных проблем, пожалуйста, убедитесь, что вы скачиваете игру только с официальной страницы Steam, и не обращайте внимания на другие источники. Мы никогда не распространяем ключи активации или установочные файлы через сторонние сайты.
— сообщает разработчик в Steam, пытаясь оправдаться.
Пользователи ясное дело не поверили в эти пустые заявления. Какие несостыковки в версии разраба увидели юзеры? Причем здесь ключи?
Домен sierrasixstudios[.]dev был зарегистрирован 10 марта 2025 года через Porkbun. Игра появилась в Steam 17 марта. Утверждение, что они не успели зарегистрировать домен, и он был куплен третьей стороной неубедительно.
У студии нет нет GitHub-истории, блога, официальных соцсетей, девлогов. Всё появляется сразу и только в момент "релиза", что характерно для фейковых проектов, созданных под заражение.
— пишут юзеры.
Особо зоркие пользователи обнаружили то, что разраб в Steam залил скриншот игры, не зная как она пишется. Некоторые скрины могли быть заимствованы из других проектов или сделаны на скорую руку.
Орфографическая ошибка — на скрине Phatnom вместо Phantom [на скрине]. 🍿Просчитался разработчик, но где?
👨💻 GitHub быстро снесли репозиторий разработчика. Домен потух.
📖 Действительно, а как так получилось, что сайт разраба с доп.ссылкой на вредонос случайным образом оказался официально закрепленным к проекту в Steam (веб-архив помнит)? Схема c вредоносом: переход на страницу игры в Steam — переход по ссылке на sierrasixstudios[.]dev — и там опять переход на скачивание с хостинга medifire.
👉Это уже второй громкий случай за последнее время: ранее Steam удалил игру🏴☠️PirateFi с 🦠 вирусом внутри и предложил геймерам переустановить ОС.
✋ @Russian_OSINT