До кінця червня загальна сума викраденої криптовалюти перевищила позначку $3 мільярди — більше, ніж за весь минулий рік.

Один із ключових фігурантів — хакер, відомий під псевдонімами EncryptHub або Larva-208. Він використовував популярну ігрову платформу Steam як канал розповсюдження шкідливого програмного забезпечення.

Одним із інструментів атаки стала гра Chemia — симулятор виживання в постапокаліптичному світі, який пережив глобальну катастрофу. Гра знаходилася на стадії раннього доступу, що дозволяло розробникам збирати відгуки від гравців, виправляти помилки та доопрацьовувати механіку.

Перший шкідливий код було впроваджено у файли гри 22 липня. Шкідливий завантажувач, вбудований у гру EncryptHub, активувався при запуску Chemia, закріплювався в системі жертви і починав поширювати трояни Fickle Stealer, HijackLoader та Vidar. Останній — відомий інфостилер, який застосовує відкриті ресурси інтернету як елементи інфраструктури управління та контролю (C2).

HijackLoader — завантажувач, що запускає встановлення додаткового шкідливого ПЗ, включаючи банківські трояни на зразок DanaBot та RedLine. Fickle Stealer — відносно новий тип інфостилера, який використовує PowerShell для захисту Windows (UAC). Він здатний викрадати системні файли, дані браузерів, криптогаманців та іншу конфіденційну інформацію.

Залежно від вмісту пристрою зараження може призвести як до витоку персональних даних, так і до прямих фінансових втрат, включаючи крадіжку криптовалюти. На даний момент Chemia була видалена зі Steam, а на SteamDB гра відзначена як потенційно шкідлива.