Заражённые игры в Steam и охота на криптокошельки — ФБР задержало подозреваемого во Флориде

Заражённые игры в Steam и охота на криптокошельки — ФБР задержало подозреваемого во Флориде

изображение: grok

Федеральные агенты в США задержали 21-летнего Зайра Донтавиуса Замариона Уилкинса, которого связывают с распространением вредоносного ПО через игровые проекты в Steam. По версии следствия, группа зарабатывала на краже криптовалюты у владельцев примерно 80 кошельков, а совокупная добыча достигла 220 тысяч долларов. В поле зрения ФБР попали восемь игр, часть которых уже удалена из магазина Valve.

Задержание прошло во вторник, 14 июля, о чём сообщило издание Local 10 News. Следователи считают подозреваемого одним из операторов схемы, работавшей с мая 2024 года по январь 2026 года. Обвинения предъявлены по американскому закону о компьютерном мошенничестве, максимальный срок наказания — до 10 лет лишения свободы. Сам Steam и компания Valve в федеральной жалобе напрямую не упомянуты, хотя мартовский запрос ФБР о поиске пострадавших указывал на площадку прямо и без обиняков.

В список подозрительных проектов вошли BlockBlasters, Chemia, Dashverse (он же DashFPS), Lampy, Lunara, PirateFi и Tokenova. Найти эти страницы в каталоге Steam уже нельзя, а архив SteamDB помечает их как подозрительные из-за возможного вредоносного содержимого либо подмены заявленного функционала. Самой громкой стала история с BlockBlasters — удаление привлекло внимание ещё в прошлом году, когда всплыли сведения о встроенном вредоносном коде.

Восемь заражённых игр, по оценке следствия, добрались примерно до 8 тысяч пользователей. Для операторов подобная аудитория превращала привычный игровой релиз в цифровую воронку, где за красивой обложкой продукта скрывался инструмент удалённого доступа к компьютеру. Отдельная деталь схемы — точечный подход к жертвам. Отдельные пользователи попадали в прицел не случайно, а из-за крупных запасов цифровых активов на кошельках.

Инструментарий подозреваемый, по данным ФБР, приобрёл за 10 тысяч долларов — троянская программа предоставляла удалённый доступ к заражённым системам. В связке с игровым каналом распространения получалась схема, знакомая специалистам по кибербезопасности:

  • встроенный в игру дроппер запускался вместе с легитимным клиентом;
  • RAT-компонент открывал канал управления для оператора;
  • криптокошельки и расширения браузера сканировались отдельно;
  • найденные приватные ключи и seed-фразы уходили на серверы группы;
  • крупные балансы становились приоритетной целью для вывода средств.

Отмечается, что заражённые игры использовались не лишь для массовой рассылки зловреда, но и как часть охоты за конкретными цифровыми кошельками с крупными балансами.

Следовательский след, выведший на подозреваемого, оказался почти бытовым. По информации Local 10 News, речь идёт о покупках через сервис Bitrefill — свыше 150 электронных подарочных карт, значительная часть которых предназначалась для Uber Eats. Анализ криптовалютной активности показал куда больший оборот, чем ущерб от одной этой операции — подозреваемый лично отправил либо получил цифровые активы общей стоимостью около 382 тысяч долларов.

Steam с подобными эпизодами сталкивается не впервые. Магазин остаётся крупнейшей площадкой распространения компьютерных игр, поэтому даже единичное проникновение вредоносного продукта получает доступ к огромной аудитории. Ранее в этом году один из разработчиков сообщил о модификации с поведением компьютерного червя — предположительно она распространялась через Steam Workshop и заменяла другие файлы собственными копиями. Злоумышленников интересуют не лишь полноценные релизы:

  • демоверсии и ранний доступ с минимальной модерацией;
  • бесплатные проекты малоизвестных студий;
  • пользовательские моды и карты через Workshop;
  • обновления игр после публикации первой чистой сборки;
  • фейковые страницы, копирующие известные релизы.

Для российских пользователей эта история актуальна не меньше, чем для американских. Steam остаётся основной точкой доступа к легальному игровому контенту, а популярность криптовалют в стране высокая. Владельцы кошельков с заметными балансами точно так же попадают в потенциальный список целей операторов подобных RAT-кампаний.

Стоит обратить внимание, что заражённая игра часто выглядит идентично легитимной — обещанный геймплей действительно запускается, а вредоносный компонент отрабатывает в фоне без видимых признаков.

Практические шаги, которые снижают риск заражения через игровые площадки:

  • хранить крупные балансы криптовалюты на аппаратных кошельках без подключения к рабочей системе;
  • не запускать демоверсии и ранний доступ малоизвестных студий на машине с криптокошельками;
  • проверять репутацию разработчика и историю страницы в SteamDB перед установкой;
  • отключать автоматическую загрузку модов из Steam Workshop для игр с большим сообществом;
  • регулярно проверять список установленных расширений браузера и активных сессий кошельков.

Расследование продолжается уже после задержания одного из подозреваемых. Если версия ФБР подтвердится, эпизод станет показательным примером того, как страница игры в крупнейшем магазине превращается в начало совсем не развлекательного маршрута — с трояном удалённого доступа вместо ожидаемого геймплея и с адресной охотой за крупными криптокошельками.

Экспертная редакция CISOCLUB обращает внимание, что кейс Уилкинса перекрывает сразу два больших пласта проблем — доверие к крупным цифровым витринам и защищённость криптоактивов частных пользователей. Steam исторически воспринимается аудиторией как безопасная площадка, и злоумышленники активно эксплуатируют эту репутацию для доставки RAT-компонентов под видом инди-релизов и демоверсий. Отдельного внимания заслуживает адресный характер атак — операторы группы работали не по площади, а по конкретным владельцам крупных кошельков, что говорит о наличии предварительной разведки по блокчейн-данным.

Для российской аудитории вывод простой — популярность крипты в стране растёт, а базовая гигиена хранения активов отстаёт. Разделение игровой машины и кошельков, аппаратное хранение крупных сумм и проверка страниц через SteamDB перед установкой снижают риск попадания в подобную воронку в разы. Расследование ФБР показывает и другое — цифровой след операторов таких схем всё чаще выводит на них через самые обычные покупки, что даёт правоохранителям рабочий рычаг против подобных группировок.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: