Raivo Plavnieks, un streamer de jeux vidéo collecte de fonds pour un traitement contre le cancer, a perdu plus de 32 000 $ en crypto-monnaie après avoir téléchargé un jeu compromis et vérifié nommé Blockblasters de la plate-forme Steam. Publié par Genesis Interactive, Blockblasters était un jeu de plateforme 2D gratuit disponible sur Steam du 30 juillet au 21 septembre. Le jeu, qui avait accumulé des centaines de critiques « très positives », a été modifié le 30 août lorsqu’un composant cryptodraineur a été ajouté. Le logiciel malveillant a été découvert après que Plavnieks, un streamer connu sous le nom de RastalandTV, a téléchargé le jeu vérifié lors d’une diffusion en direct pour collecter des fonds pour son traitement contre le sarcome de haut niveau de stade 4.
« Pour quiconque se demande ce qui se passe avec $ cancer live stream … Ma vie a été sauvée pendant les 24 heures jusqu’à ce que quelqu’un soit à l’écoute de mon flux et me fasse télécharger un jeu vérifié sur @steam, »
Plavnieks a déclaré après le vol. L’attaque a drainé plus de 32 000 $ du portefeuille de crypto-monnaie du joueur letton, impactant les fonds destinés à ses soins médicaux. En plus de ses collectes de fonds en streaming, Plavnieks avait établi une campagne GoFundMe pour recevoir des dons, qui était de 58% de son objectif financier au moment de l’incident. Après la divulgation publique du vol, l’influenceur de crypto Alex Becker a confirmé qu’il avait envoyé 32 500 $ à un nouveau portefeuille sécurisé pour Plavnieks, un montant destiné à couvrir la somme complète qui a été volée. La portée de l’attaque s’est étendue au-delà de ce seul incident. L’enquêteur de crypto Zachxbt a indiqué à BleepingComputer que les auteurs ont volé un total estimé de 150 000 $ sur 261 comptes de vapeur distincts. Le groupe de sécurité Vxunderground, qui a également surveillé la campagne malveillante, a documenté un nombre de victimes plus élevé, identifiant 478 utilisateurs touchés. Vxunderground a par la suite publié une liste des noms d’utilisateur compromis et émis un avertissement public exhortant toutes les personnes sur la liste à réinitialiser immédiatement les mots de passe de leur compte pour empêcher un autre accès non autorisé. La recherche sur l’attaque indique que les victimes n’ont pas été choisies au hasard. Les rapports suggèrent que les attaquants ont spécifiquement ciblé des individus après les avoir identifiés sur Twitter en tant que gestionnaires de participations importantes de crypto-monnaie. Ces utilisateurs ont ensuite été vraisemblablement envoyés des invitations directes pour essayer le jeu Blockblasters. Un rapport technique des chercheurs a détaillé la fonction du malware, identifiant un script de lot de compte-gouttes qui a effectué des vérifications d’environnement sur le système d’une victime. Ce script a collecté des informations d’identification de connexion Steam et l’adresse IP de l’utilisateur, en téléchargeant les données sur un serveur de commande et de contrôle. Une analyse plus approfondie du chercheur de GDATA, Karsten Hahn, a documenté l’utilisation d’une porte dérobée Python et d’une charge utile de Stealc, qui ont été déployées en conjonction avec le voleur par lots. Au cours de l’enquête, les experts en sécurité ont noté une défaillance significative de la sécurité opérationnelle par les attaquants, qui ont laissé leur code de bot télégramme et leurs jetons d’authentification exposés. Des rapports non confirmés d’experts du renseignement open source affirment que l’acteur de menace principale a été identifié comme un immigrant argentin résidant à Miami, en Floride. L’incident de Blockblasters est l’un des nombreux cas récents de logiciels malveillants distribués sur Steam, à la suite d’attaques similaires plus tôt dans l’année impliquant les jeux Chemia, Sniper: Résolution de Phantom et Piratefi.
