No dia de Natal, a comunidade de jogadores foi surpreendida por uma violação de segurança no popular jogo de estratégia independente Slay the Spire. A expansão de fãs chamada Downfall, disponível na Steam, foi comprometida, resultando na distribuição de malware Epsilon Stealer por meio do sistema de atualização da plataforma. Esta ocorrência levanta sérias preocupações sobre a segurança de jogos e a integridade dos sistemas de distribuição digital.
A violação do Downfall na temporada festiva
O desenvolvedor Michael Mayhem revelou que a violação ocorreu durante o Natal, quando uma versão modificada autônoma pré-embalada do jogo Downfall foi enviada via Steam. Essa versão comprometida não era um mod instalado através do Steam Workshop, mas uma versão standalone do jogo original. A invasão permitiu que os atacantes comprometessem as contas Steam e Discord de um dos desenvolvedores do Downfall, obtendo assim controle sobre a conta Steam do mod.
Mayhem esclareceu que o malware não parecia ser destinado ao roubo de senhas, pois a autenticação de dois fatores (2FA) não foi acionada. No entanto, a incerteza persiste, pois os invasores conseguiram comprometer contas em diferentes endereços de e-mail. Especula-se que o objetivo principal era um sequestro de token, visando a utilização do Steam para upload e Discord para evitar alertar os usuários.
O malware Epsilon Stealer
O malware Epsilon Stealer, utilizado nesta violação, é conhecido por ser vendido via Telegram e Discord para outros agentes de ameaças, mostra o Bleeping Computer. Tradicionalmente, esse malware visa jogadores no Discord, enganando-os sob o pretexto de testar novos jogos em troca de pagamento. No entanto, após a instalação, o malware atua em segundo plano, coletando informações sensíveis, incluindo senhas, detalhes do cartão de crédito e cookies de autenticação do usuário.
Ainda mais alarmante é a capacidade do Epsilon Stealer de buscar documentos contendo a palavra ‘senha’ nos nomes dos arquivos, expandindo sua coleta de credenciais para incluir informações de login local do Windows e do Telegram. As informações roubadas podem ser posteriormente utilizadas pelos agentes da ameaça para violar outras contas ou vendidas nos mercados da dark web.
Medidas de segurança e recomendações para os usuários
Diante dessa violação, os usuários do Downfall são fortemente aconselhados a tomar medidas imediatas para proteger suas contas e informações pessoais. Alterar todas as senhas importantes, especialmente aquelas não protegidas por 2FA, é crucial. Aqueles que receberam a atualização maliciosa devem estar cientes de que o malware pode se instalar como um aplicativo Windows Boot Manager na pasta AppData ou como UnityLibManager na pasta /AppData/Roaming.
Para garantir a segurança contínua, é essencial que os usuários executem verificações em seus sistemas e garantam que suas proteções antivírus estejam ativas. Além disso, considerando a natureza evasiva do malware, uma limpeza completa do disco rígido é recomendada.
A resposta da Steam e medidas adicionais
Em resposta a incidentes anteriores, a Steam anunciou medidas adicionais de segurança em outubro, exigindo verificações baseadas em SMS para desenvolvedores que enviam atualizações no branch de lançamento padrão. Essa mudança visava combater o aumento de contas comprometidas sendo utilizadas para distribuir versões maliciosas de jogos.
A equipe de desenvolvimento do Downfall está trabalhando em estreita colaboração com os usuários afetados e a Valve para coletar dados e compartilhar informações relevantes. Além disso, medidas proativas estão sendo implementadas, como a transferência de propriedade do Downfall para uma conta Steam dedicada, garantindo que seja usada exclusivamente para uploads e não conectada a outros fins.
