Латвийский стример Райво Плавниекс, известный в интернете как RastalandTV, стал жертвой киберпреступников после установки из Steam игры BlockBlasters, которая ранее считалась безопасной. Вредоносная модификация платформера привела к краже $32 000 с криптокошелька, где находились средства, собранные на лечение онкологического заболевания. Об этом сообщили сразу несколько исследовательских групп в области цифровой безопасности, в том числе VXUnderground и GDATA.
BlockBlasters — бесплатная 2D-игра с ретро-дизайном от разработчика Genesis Interactive — была размещена в магазине Steam 30 июля и находилась в открытом доступе до 21 сентября. Первоначально игра не содержала вредоносных компонентов, однако после обновления от 30 августа в неё был внедрён троян CryptoDrainer, предназначенный для кражи криптовалюты.
Инцидент стал публичным в момент прямого эфира RastalandTV, во время которого стример собирал пожертвования на лечение саркомы IV стадии. Злоумышленники, предположительно следившие за трансляцией, убедили его загрузить «проверенную» игру. Спустя некоторое время с кошелька Плавниекса были выведены все средства.
Сам геймер сообщил об атаке в соцсетях, заявив, что игра на платформе Steam, считавшаяся безопасной, стала причиной кражи всей суммы, собранной в ходе кампании #CANCER. На тот момент было собрано 58% от необходимого объёма средств. Впоследствии известный криптоинфлюенсер Алекс Беккер перевёл пострадавшему $32 500 в надёжное хранилище, компенсировав ущерб.
Расследование показало, что атака имела целевой характер. По данным VXUnderground, всего пострадало 478 пользователей, многие из которых управляли значительными криптовалютными активами. Злоумышленники идентифицировали своих целей через X (Twitter), после чего отправляли им приглашения протестировать игру BlockBlasters, подделанную под обычный инди-проект с положительными отзывами.
Исследователь Карстен Хан из GDATA задокументировал, что вредоносный код был реализован через Python-бэкдор, встроенный в инсталлятор. Пакетный скрипт дроппера предварительно анализировал систему на предмет виртуальных сред и затем собирал учётные данные Steam, IP-адрес пользователя и иные идентификаторы. Данные автоматически отправлялись на удалённый управляющий сервер (C2), откуда управлялись действия трояна.
ZachXBT, известный криптоаналитик, уточнил, что в ходе атаки могли быть похищены активы на общую сумму до $150 000 с более чем 260 аккаунтов. Эксперты призвали пользователей, которые устанавливали BlockBlasters, немедленно сменить пароли и проверить свои криптовалютные кошельки на несанкционированный вывод средств.