Заражённые игры в Steam и охота на криптокошельки — ФБР задержало подозреваемого во Флориде

изображение: grok
Федеральные агенты в США задержали 21-летнего Зайра Донтавиуса Замариона Уилкинса, которого связывают с распространением вредоносного ПО через игровые проекты в Steam. По версии следствия, группа зарабатывала на краже криптовалюты у владельцев примерно 80 кошельков, а совокупная добыча достигла 220 тысяч долларов. В поле зрения ФБР попали восемь игр, часть которых уже удалена из магазина Valve.
Задержание прошло во вторник, 14 июля, о чём сообщило издание Local 10 News. Следователи считают подозреваемого одним из операторов схемы, работавшей с мая 2024 года по январь 2026 года. Обвинения предъявлены по американскому закону о компьютерном мошенничестве, максимальный срок наказания — до 10 лет лишения свободы. Сам Steam и компания Valve в федеральной жалобе напрямую не упомянуты, хотя мартовский запрос ФБР о поиске пострадавших указывал на площадку прямо и без обиняков.
В список подозрительных проектов вошли BlockBlasters, Chemia, Dashverse (он же DashFPS), Lampy, Lunara, PirateFi и Tokenova. Найти эти страницы в каталоге Steam уже нельзя, а архив SteamDB помечает их как подозрительные из-за возможного вредоносного содержимого либо подмены заявленного функционала. Самой громкой стала история с BlockBlasters — удаление привлекло внимание ещё в прошлом году, когда всплыли сведения о встроенном вредоносном коде.
Восемь заражённых игр, по оценке следствия, добрались примерно до 8 тысяч пользователей. Для операторов подобная аудитория превращала привычный игровой релиз в цифровую воронку, где за красивой обложкой продукта скрывался инструмент удалённого доступа к компьютеру. Отдельная деталь схемы — точечный подход к жертвам. Отдельные пользователи попадали в прицел не случайно, а из-за крупных запасов цифровых активов на кошельках.
Инструментарий подозреваемый, по данным ФБР, приобрёл за 10 тысяч долларов — троянская программа предоставляла удалённый доступ к заражённым системам. В связке с игровым каналом распространения получалась схема, знакомая специалистам по кибербезопасности:
- встроенный в игру дроппер запускался вместе с легитимным клиентом;
- RAT-компонент открывал канал управления для оператора;
- криптокошельки и расширения браузера сканировались отдельно;
- найденные приватные ключи и seed-фразы уходили на серверы группы;
- крупные балансы становились приоритетной целью для вывода средств.
Отмечается, что заражённые игры использовались не лишь для массовой рассылки зловреда, но и как часть охоты за конкретными цифровыми кошельками с крупными балансами.
Следовательский след, выведший на подозреваемого, оказался почти бытовым. По информации Local 10 News, речь идёт о покупках через сервис Bitrefill — свыше 150 электронных подарочных карт, значительная часть которых предназначалась для Uber Eats. Анализ криптовалютной активности показал куда больший оборот, чем ущерб от одной этой операции — подозреваемый лично отправил либо получил цифровые активы общей стоимостью около 382 тысяч долларов.
Steam с подобными эпизодами сталкивается не впервые. Магазин остаётся крупнейшей площадкой распространения компьютерных игр, поэтому даже единичное проникновение вредоносного продукта получает доступ к огромной аудитории. Ранее в этом году один из разработчиков сообщил о модификации с поведением компьютерного червя — предположительно она распространялась через Steam Workshop и заменяла другие файлы собственными копиями. Злоумышленников интересуют не лишь полноценные релизы:
- демоверсии и ранний доступ с минимальной модерацией;
- бесплатные проекты малоизвестных студий;
- пользовательские моды и карты через Workshop;
- обновления игр после публикации первой чистой сборки;
- фейковые страницы, копирующие известные релизы.
Для российских пользователей эта история актуальна не меньше, чем для американских. Steam остаётся основной точкой доступа к легальному игровому контенту, а популярность криптовалют в стране высокая. Владельцы кошельков с заметными балансами точно так же попадают в потенциальный список целей операторов подобных RAT-кампаний.
Стоит обратить внимание, что заражённая игра часто выглядит идентично легитимной — обещанный геймплей действительно запускается, а вредоносный компонент отрабатывает в фоне без видимых признаков.
Практические шаги, которые снижают риск заражения через игровые площадки:
- хранить крупные балансы криптовалюты на аппаратных кошельках без подключения к рабочей системе;
- не запускать демоверсии и ранний доступ малоизвестных студий на машине с криптокошельками;
- проверять репутацию разработчика и историю страницы в SteamDB перед установкой;
- отключать автоматическую загрузку модов из Steam Workshop для игр с большим сообществом;
- регулярно проверять список установленных расширений браузера и активных сессий кошельков.
Расследование продолжается уже после задержания одного из подозреваемых. Если версия ФБР подтвердится, эпизод станет показательным примером того, как страница игры в крупнейшем магазине превращается в начало совсем не развлекательного маршрута — с трояном удалённого доступа вместо ожидаемого геймплея и с адресной охотой за крупными криптокошельками.
Экспертная редакция CISOCLUB обращает внимание, что кейс Уилкинса перекрывает сразу два больших пласта проблем — доверие к крупным цифровым витринам и защищённость криптоактивов частных пользователей. Steam исторически воспринимается аудиторией как безопасная площадка, и злоумышленники активно эксплуатируют эту репутацию для доставки RAT-компонентов под видом инди-релизов и демоверсий. Отдельного внимания заслуживает адресный характер атак — операторы группы работали не по площади, а по конкретным владельцам крупных кошельков, что говорит о наличии предварительной разведки по блокчейн-данным.
Для российской аудитории вывод простой — популярность крипты в стране растёт, а базовая гигиена хранения активов отстаёт. Разделение игровой машины и кошельков, аппаратное хранение крупных сумм и проверка страниц через SteamDB перед установкой снижают риск попадания в подобную воронку в разы. Расследование ФБР показывает и другое — цифровой след операторов таких схем всё чаще выводит на них через самые обычные покупки, что даёт правоохранителям рабочий рычаг против подобных группировок.



