เอาอีกแล้ว! พบ Demo เกมบน Steam ปนเปื้อนมัลแวร์ Infostealer โชคยังที่ที่ถูกระงับเผยแพร่แล้ว

การเล่นวิดีโอเกมในปัจจุบัน แพลตฟอร์มที่เรียกได้ว่าเป็นที่นิยมและมีความน่าเชื่อถือมาอย่างยาวนาน คงจะหนีไม่พ้น Steam แต่ในระยะหลังนั้นเองกลับมีเรื่องให้เสียรังวัดออกมาอยู่เรื่อย ๆ

จากรายงานโดยเว็บไซต์ Bleeping Computer ได้รายงานถึงการตรวจพบมัลแวร์แฝงตัวอยู่บนตัวอย่างวิดีโอเกมสำหรับเล่นฟรี หรือ Demo ที่ถูกแจกจ่ายบนแพลตฟอร์มซื้อขายวิดีโอเกมชื่อดังอย่าง Steam โดยเดโมที่กำลังเป็นประเด็นนั้นเป็นเดโมที่มีชื่อว่า Sniper: Phantom’s Revolution ซึ่งเป็นวิดีโอเกมแบบ First-Person Shooting หรือ FPS ที่ถูกพัฒนาโดยค่าย Sierra Six Studios โดยข้อมูลที่ระบุไว้นั้นคือ เดโอตัวนี้จะเป็นการทดลองเล่นตัวเกมที่ถูกพัฒนาในขั้นแรก หรือ Early Demo

ภาพจาก : https://www.bleepingcomputer.com/news/security/steam-pulls-game-demo-infecting-windows-with-info-stealing-malware/

ทว่า ผู้ใช้งานหลายรายกลับพบจุดที่ผิดสังเกตคือ ทรัพยากร (Assets) ที่ถูกใช้ในตัวเกม ไปจนถึงคำอธิบายตัวเกมนั้นกลับเป็นการคัดลอกมาจากวิดีโอเกมตัวอื่น รวมไปถึงขั้นตอนการดาวน์โหลดเดโมนั้น แทนที่จะเป็นการดาวน์โหลดจากเซิร์ฟเวอร์ของทาง Steam กลับเป็นการดาวน์โหลดจากคลังเก็บไฟล์ดิจิทัล (Repo หรือ Repository) ของ GitHub แทน ซึ่งผู้ใช้งานจาก Reddit เว็บบอร์ดชื่อดัง ได้สังเกตเห็นว่าบัญชีของผู้พัฒนาดังกล่าวบน Reddit นั้นมีชื่อว่า arda1337 ซึ่งบัญชีนี้มีความพัวพันกับเครื่องมือด้านคริปโตเคอร์เรนซี และบอทบนแอปแชท Telegram

นอกจากนั้นแล้วเมื่อวิเคราะห์ไฟล์ติดตั้ง ผู้ใช้งานจาก Reddit กลับพบว่าไฟล์ดังกล่าวนั้นมีชื่อว่า 'Windows Defender SmartScreen.exe' รวมทั้งมีเครื่องมือสำหรับการโจมตี และอัปเกรดสิทธิ์ในการใช้งานระบบในรูปแบบสคริปท์ Node.js และเครื่องมือสำหรับการดักจับขโมยไฟล์คุกกี้อย่าง 'Fiddler' แพ็ครวมไว้ด้วยกันอีกด้วย โดยหลังจากที่รันไฟล์ติดตั้ง ตัวมัลแวร์จะทำการรันสคริปท์ Node.js ขึ้นมาอย่างต่อเนื่อง และลบตัวเองไปในเวลาเดียวกันหลังจากทำงานเสร็จเพื่อกลบร่องรอย รวมทั้งมีการรันสคริปท์ที่มีชื่อว่า 'createShortcut. vbs' เพื่อทำการเพิ่ม Startup Task สร้างความมั่นใจว่าตัวมัลแวร์จะสามารถทำงานทุกครั้งที่เปิดเครื่องใหม่ (Persisrence) อีกด้วย

โดยหลังจากที่ทาง GitHub ได้ทราบข่าว ทาง GitHub ก็ได้ทำการลบ Repo ดังกล่าวลงในทันที รวมทั้งทาง Valve ซึ่งเป็นผู้ให้บริการ Steam ก็ได้ทำการลบเดโมดังกล่าวออกจากระบบในทันทีเช่นเดียวกันหลังจากที่ได้รับรายงานจากผู้ใช้งาน และที่น่าสังเกตคือ เว็บไซต์ของผู้พัฒนาต้องสงสัยอย่าง 'sierrasixstudios[.]dev' ก็ได้ปิดตัวลงไปทันทีเช่นเดียวกัน แหล่งข่าวได้ให้คำแนะนำว่า ถ้าผู้ใดติดตั้งเดโมดังกล่าวเรียบร้อยแล้ว ขอให้ทำการลบทิ้งพร้อมทั้งใช้เครื่องมือด้านความปลอดภัยไซเบอร์ ทำการสแกนระบบอย่างเต็มรูปแบบในทันที

➤ Website : https://www.thaiware.com
➤ Facebook : https://www.facebook.com/thaiware
➤ Twitter : https://www.twitter.com/thaiware
➤ YouTube : https://www.youtube.com/thaiwaretv