Введение
2D-платформер BlockBlasters, разработанный студией Genesis Interactive, вышел в Steam 31 июля 2025 года и быстро собрал сотни положительных отзывов. Но уже 30 августа игра получила патч (Build 19799326), который содержал файлы с признаками вредоносной активности. Эти файлы были выявлены системой G DATA MXDR и проявляют поведение, характерное для троянов-воров, в том числе кражу данных криптокошельков. Потенциально заражены сотни пользователей.Рост заражений через игры в Steam
2025 год отмечен ростом числа заражений вредоносным ПО через игры в Steam.- Одним из первых случаев стала PirateFi, бесплатная игра с встроенным инфостилером.
- Недавно заражение зафиксировано в ранней версии игры Chemia, где группа EncryptHub внедрила вредоносные бинарные файлы, обойдя начальную проверку Valve.
Хронология и содержимое патча
Исторические логи на [SteamDB] показывают, что патч от 30 августа содержит ряд подозрительных файлов. Он распространялся на всех, у кого игра установлена.Этап 1: Троян-вор (batch-файл)
Основной скрипт game2.bat проявляет функции, нетипичные для легитимных игровых процессов и характерные для вредоносов:- сбор IP-адреса и геолокации через сайты
ipinfo[.]ioиip[.]me; - поиск процессов антивирусов для обхода защиты;
- кража данных Steam-аккаунта (SteamID, AccountName, PersonaName, RememberPassword);
- передача собранных данных на C2-сервер
hxxp://203[.]188[.]171[.]156:30815/upload; - запуск VBS-скриптов launch1.vbs и test.vbs.
Этап 2: VBS-лоадеры
Скрипты Launch1.vbs и Test.vbs запускают соответствующие batch-файлы (1.bat и test.bat) в скрытом режиме черезcmd.exe.Отступ для изображения: VBS runner code
Файл test.bat собирает данные о браузерных расширениях и криптокошельках, затем отправляет их на C2-сервер.
Этап 3: Основной вредоносный модуль
Файл 1.bat добавляет каталогDrive:\SteamLibrary\steamapps\common\BlockBlasters\Engine\Binaries\ThirdParty\Ogg\cwe\в список исключений Microsoft Defender, чтобы скрыть исполняемые файлы от сканирования. Затем он распаковывает архив v3.zip (пароль 121) и запускает его содержимое, одновременно стартуя игровой exe-файл для маскировки.
Скрипт повторно запрашивает IP-адрес пользователя и проверяет наличие процесса Steam для обновления информации на C2-канале.
Выполняемые полезные нагрузки
В процессе атаки запускаются два исполняемых файла:- Client-built2.exe — бэкдор, написанный на Python, подключается к C2-серверу
hxxp://203[.]188[.]171[.]156через класс RemoteControlClient. - Block1.exe — троян-стилер StealC, написанный на C++ (Win64), упакованный и зашифрованный RC4. Он крадет данные из браузеров:
- Google Chrome (
\Google\Chrome\User Data\Local State) - Brave (
\BraveSoftware\Brave-Browser\User Data\Local State) - Microsoft Edge (
\Microsoft\Edge\User Data\Local State)
- Google Chrome (
Телеметрия заражений
По данным SteamDB и Gamalytic, на момент написания статьи в игру одновременно играют 1–4 человека, а число загрузок после выхода патча превысило 100.Реакция
Игра была помечена на SteamDB как подозрительная и удалена из магазина. Известен случай заражения во время благотворительного стрима: зрители наблюдали, как компьютер стримера заражается в прямом эфире. Этот эпизод напоминает, что вредоносное ПО — это не абстрактные цифры, а реальная угроза людям.Индикаторы компрометации (IoC)
| Файл | SHA256 | Определение |
|---|---|---|
| Game2.bat | aa1a1328e0d0042d071bca13ff9a13116d8f3cf77e6e9769293e2b144c9b73b3 | BAT.Trojan-Stealer.StimBlaster.F |
| Launch1.vbs | c3404f768f436924e954e48d35c27a9d44c02b7a346096929a1b26a1693b20b3 | Script.Malware.BatchRunner.A@ioc |
| Test.vbs | b2f84d595e8abf3b7aa744c737cacc2cc34c9afd6e7167e55369161bc5372a9b | Script.Malware.BatchRunner.A@ioc |
| 1.bat | e4cae16e643a03eec4e68f7d727224e0bbf5415ebb0a831eb72cb7ff31027605 | BAT.Trojan-Stealer.StimBlaster.I@ioc |
| Test.bat | 3766a8654d3954c8c91e658fa8f8ddcd6844a13956318242a31f52e205d467d0 | BAT.Trojan-Stealer.StimBlaster.J |
| Client-built2.exe | 17c3d4c216b2cde74b143bfc2f0c73279f2a007f627e3a764036baf272b4971a | Win64.Backdoor.StimBlaster.L6WGC3 |
| Block1.exe | 59f80ca5386ed29eda3efb01a92fa31fb7b73168e84456ac06f88fdb4cd82e9e | Win32.Trojan-Stealer.StealC.RSZPXF |
Заключение
BlockBlasters стал еще одним примером того, как киберпреступники используют доверие игроков и обходят проверки на Steam. Пользователям рекомендуется немедленно удалить игру, провести полное сканирование системы и сменить пароли, особенно если использовались криптокошельки или браузеры, указанные в списке StealC.Источник
