Sniper: Phantom's Resolution byla na první pohled klasická indie FPS hra, která lákala na vydání v průběhu letošního roku. Na její stránce na Steamu se však neobjevoval přímý odkaz ke stažení dema, jak by bylo obvyklé. Místo toho byla uvedena externí stránka vývojáře – sierrasixstudios.dev – která dále přesměrovávala uživatele na file-sharingové úložiště s údajnou hrou.

Jak se ukázalo, celý tento řetězec vedl k malwaru, který po instalaci uměl zachytávat síťový provoz a krást soubory cookies z prohlížečů. Ty následně útočníkovi umožňovaly vstup do online účtů nic netušících hráčů.

Jak se útok šířil?

Podle uživatele FERAL_WASP na Redditu byl malware šířen pomocí přímých zpráv na Discordu, kde útočníci oslovovali náhodné hráče a nabízeli jim možnost vyzkoušet nové demo. Šlo tedy o kombinaci sociálního inženýrství a důvěryhodně vypadající prezentace – stránka hry na Steamu působila legitimně, stejně jako vývojářský profil.

A právě to bylo klíčové: samotný Steam nebyl technicky napaden, ale poskytl útočníkům prostředek, jak působit důvěryhodně.

Skuteční vývojáři? Nešťastná shoda jmen a neobsazená doména

Zvrat přichází ve chvíli, kdy se ke kauze vyjádřilo i údajné studio Sierra Six Studios. Podle vývojáře jménem Andrew šlo o nešťastnou shodu okolností:

„Náš tým se stal obětí podvodu. Někdo zaregistroval doménu sierrasixstudios.dev, kterou jsme plánovali použít, ale zatím jsme ji nekoupili. Útočník na ní zveřejnil podvodnou verzi naší hry, která obsahovala malware,“ uvedl Andrew na Redditu.

Tím pádem se potvrzuje, že Steam stránka byla legitimní, ale vedla na doménu, kterou vývojáři opomenuli zajistit. Tato chyba v digitální hygieně umožnila útočníkovi napodobit oficiální web a zneužít důvěru hráčů.

„Kdybychom nepřidali do názvu účtu '.dev', k tomuto problému možná vůbec nedošlo. Už jsme vývojářský účet přejmenovali, abychom předešli dalším zmatkům,“ dodává Andrew.

Zdroj: Shutterstock

PirateFi: podobný útok minulý měsíc

Incident se Sniper: Phantom's Resolution není ojedinělý. Před měsícem se na Steamu objevila hra PirateFi, která rovněž obsahovala malware. Hacker ji propagoval přes Telegram bot, který nabízel hráčům práci chat moderátora výměnou za přístup ke hře.

Zatímco PirateFi byla kompletně podvodná, u Sniper: Phantom’s Resolution se zdá, že šlo skutečně o projekt ve vývoji, který byl zneužit jiným subjektem.

Co dělá Steam?

Společnost Valve, která Steam provozuje, na dotazy médií nereagovala. Nicméně stránka hry byla rychle odstraněna, jakmile se incident dostal na veřejnost.

Situace ale ukazuje na rizika otevřené platformy, kde vývojáři mohou publikovat vlastní hry i odkazy na externí stránky. Steam sice prověřuje aplikace nahrané přímo přes své servery, ale neřeší obsah mimo platformu, což je zásadní slabina.