Nel panorama sempre più vasto dei videogiochi digitali, dove milioni di titoli vengono scaricati quotidianamente attraverso piattaforme considerate sicure, si nascondono insidie che possono trasformare un momento di svago in un incubo informatico. La scoperta fatta da Prodaft, azienda specializzata in intelligence delle minacce informatiche, rivela come i cybercriminali stiano sfruttando la fiducia degli utenti nelle piattaforme di gaming per diffondere software malevolo. Il caso di "Chemia", un gioco apparentemente innocuo distribuito attraverso il programma Early Access di Steam, dimostra quanto sia facile cadere nella trappola di chi utilizza l'industria videoludica come cavallo di Troia per attacchi informatici sofisticati.
Quando il gioco diventa una trappola digitale
La vicenda di "Chemia" rappresenta un caso emblematico di come i malintenzionati possano infiltrarsi anche negli ecosistemi più controllati. Il titolo, presentato come "un avvincente gioco di sopravvivenza e crafting ambientato in un mondo devastato da una catastrofe naturale", nascondeva in realtà tre diversi ceppi di malware progettati per compromettere i sistemi degli ignari giocatori. La descrizione ufficiale invitava i player a "raccogliere risorse, creare equipaggiamento vitale e navigare in questo mondo pericoloso" per sopravvivere, senza sapere che il vero pericolo si celava proprio nel software stesso.
Quello che rende ancora più inquietante questa vicenda è il fatto che "Chemia" non era nemmeno pubblicamente disponibile. Gli utenti di Steam dovevano richiedere esplicitamente l'accesso alla versione di prova, il che aggiunge un livello di premeditazione davvero incredibile all'operazione criminale.
Tre malware in un solo download
L'analisi condotta da Prodaft ha rivelato la presenza di Fickle Stealer, Vidar Stealer e HijackLoader all'interno del codice di "Chemia". I primi due rappresentano una categoria particolarmente pericolosa di software malevolo chiamata infostealer, progettata specificamente per rubare informazioni sensibili dagli dispositivi delle vittime. Questi programmi sono in grado di compromettere portafogli di criptovalute, sottrarre dati dai browser web, violare password manager e infiltrarsi in altre applicazioni contenenti informazioni preziose.
HijackLoader, il terzo componente di questo cocktail tossico, svolge una funzione ancora più insidiosa: agisce come una porta d'accesso per future installazioni di malware, creando una vulnerabilità permanente nel sistema della vittima che può essere sfruttata in momenti successivi per distribuire ulteriori minacce informatiche.
La risposta tardiva di una piattaforma sotto pressione
La tempistica nella gestione di questa crisi rivela alcune criticità nel sistema di controllo delle piattaforme digitali. Nonostante Prodaft avesse reso pubbliche le sue scoperte il 23 luglio, "Chemia" è rimasto disponibile su Steam fino al mattino del 25 luglio, scomparendo dalla piattaforma solo durante le ore successive. Questa finestra temporale di due giorni ha potenzialmente esposto altri utenti al rischio di infezione, sollevando interrogativi sui meccanismi di risposta rapida alle minacce informatiche.
Il presunto sviluppatore, identificato come Aether Forge Studios, si è rivelato essere un'entità fantasma nel panorama digitale. Ricerche approfondite non hanno portato alla luce siti web, profili social o altri riferimenti online collegabili direttamente a questo nome in relazione al gioco "Chemia", suggerendo l'utilizzo di un'identità completamente fittizia creata ad hoc per questa operazione.
Come proteggersi
Questo episodio sottolinea l'importanza di mantenere un atteggiamento critico anche quando si utilizzano piattaforme considerate affidabili come Steam. La reputazione di una piattaforma di distribuzione, per quanto solida, non può garantire al cento per cento la sicurezza di ogni singolo contenuto ospitato, specialmente quando si tratta di sviluppatori sconosciuti o di cui non esistono tracce verificabili online.
Prodaft ha messo a disposizione della comunità informatica gli indicatori di compromissione (IOC) relativi alle versioni specifiche di Fickle Stealer, Vidar Stealer e HijackLoader trovate in "Chemia", pubblicandoli su GitHub come parte di una documentazione più ampia. Questi materiali si inseriscono in un'indagine su un gruppo criminale denominato EncryptHub, attivo dal 26 giugno 2024 in attacchi di spear-phishing particolarmente sofisticati, dimostrando come questa operazione faccia parte di una strategia criminale più ampia e organizzata nel panorama delle minacce informatiche contemporanee.
