К концу июня общая сумма похищенной криптовалюты превысила отметку в $3 миллиарда — больше, чем за весь прошлый год.

Один из ключевых фигурантов — хакер, известный под псевдонимами EncryptHub или Larva-208. Он использовал популярную игровую платформу Steam как канал распространения вредоносного ПО.

Одним из инструментов атаки стала игра Chemia — симулятор выживания в постапокалиптическом мире, пережившем глобальную катастрофу. Игра находилась в стадии раннего доступа, что позволяло разработчикам собирать отзывы от игроков, исправлять ошибки и дорабатывать механику.

Первый вредоносный код был внедрен в файлы игры 22 июля. Вредоносный загрузчик, встроенный в игру EncryptHub, активировался при запуске Chemia, закреплялся в системе жертвы и начинал распространять трояны Fickle Stealer, HijackLoader и Vidar. Последний — известный инфостилер, который применяет открытые ресурсы интернета как элементы инфраструктуры управления и контроля (C2).

HijackLoader — загрузчик, запускающий установку дополнительного вредоносного ПО, включая банковские трояны вроде DanaBot и RedLine. Fickle Stealer — относительно новый тип инфостилера, использующий PowerShell для обхода защиты Windows (UAC). Он способен похищать системные файлы, данные браузеров, криптокошельков и другую конфиденциальную информацию.

В зависимости от содержимого устройства, заражение может привести как к утечке персональных данных, так и к прямым финансовым потерям, включая кражу криптовалюты. На текущий момент Chemia была удалена из Steam, а на SteamDB игра отмечена как потенциально вредоносная.