Com mais de 40 milhões de utilizadores, o Steam é um alvo atractivo para os hackers, mas, ao longo dos seus 20 anos de vida, ocorreram muito poucos casos em que a loja foi usada para distribuir malware. Embora o incidente mais recente não seja tão grave como o do mês passado, sugere que os burlões estão a intensificar os esforços para contornar as medidas de segurança da Valve.
Os utilizadores que descarregaram a demo do jogo ‘Sniper: Phantom’s Resolution’ devem apagar imediatamente todos os ficheiros associados e mudar as suas palavras-passe do Steam e outros serviços. O jogo foi removido da plataforma depois de os utilizadores terem descoberto que a página da loja estava ligada a um ladrão de informação pessoal.
Apesar das políticas de conteúdo relativamente brandas do Steam, os utilizadores raramente suspeitam que a aplicação da loja possa ser usada para distribuir malware. O jogo gratuito PirateFi, descoberto no mês passado, foi possivelmente o primeiro caso conhecido deste tipo desde a estreia do Steam. O exemplo mais recente tentou evitar a segurança da Valve, alojando uma demo gratuita num site externo à loja.
Embora não seja inédito que os jogos do Steam alojem downloads em páginas externas ao cliente da loja, os utilizadores devem ter extrema cautela ao clicar em links que conduzem a sites externos. Os avisos da Valve sobre links externos podem parecer irritantes, mas estão lá por um motivo.
O utilizador do Reddit “Feral_Wasp” foi quem chamou a atenção para Phantom’s Resolution depois de ter notado vários sinais de alerta. Além da demo gratuita estar alojada num site externo e da arte usada para a comunicação do jogo ser genérica, só ouviu falar do jogo pela primeira vez através de uma mensagem directa não solicitada no Discord – uma abordagem muito usada por burlões.
Uma investigação mais aprofundada revelou que o site do editor do jogo foi registado no início deste mês, e as imagens associadas às suas contas podem ter sido roubadas. Também podem estar ligados a uma empresa de criptomoedas e parecem estar a promover o jogo através do Telegram, o mesmo serviço de mensagens utilizado na burla do PirateFi.
Depois de testar a “demo” numa máquina virtual, outro utilizador descobriu ficheiros concebidos para evitar o Windows Defender, imitar o motor Unity, escalar privilégios no sistema operativo e executar o Fiddler – um conhecido software de intercepção de tráfego de rede. O VirusTotal tem dificuldades em detectar o malware, sugerindo que é novo ou construído à medida. O Windows Defender, no entanto, assinala-o como um trojan.
Embora o link externo da página do Steam direccionasse os utilizadores para um site independente presumivelmente gerido pelo editor, o software malicioso teve origem realmente do repositório GitHub do grupo. Ao contrário do incidente do PirateFi, a Valve ainda não enviou emails de aviso aos utilizadores afectados. No entanto, o Steam marcou o jogo como indisponível, e o GitHub parece ter bloqueado a página do editor depois de os utilizadores a terem denunciado.
