Uno streamer malato di cancro ha perso i suoi risparmi a causa di un virus nei videogiochi e un argentino residente a Miami è accusato.

Il caso si è intensificato su Twitter quando "Smelly", l'amministratore di un noto sito di malware chiamato VX Underground , ha ripubblicato il video della vittima in lacrime. Da quel momento in poi, ha iniziato a diffondere indizi che si trattasse di una bufala.

Diversi ricercatori, soprannominati "nerd" da "Smelly" su Twitter, hanno analizzato il malware e affermano di aver trovato credenziali nel codice che inviava i dati rubati a un canale Telegram. Collegandosi a quel canale con le stesse credenziali, hanno trovato messaggi e utenti collegati all'operazione e hanno utilizzato tali identificativi per tracciare i profili pubblici su altre piattaforme.

Questo media ha contattato uno dei ricercatori che è riuscito a smantellare l'infrastruttura degli aggressori e ha redatto un rapporto forense : "Il gioco è disponibile per il download su Steam per chiunque, con un 'manifest' di tutti i file che lo compongono. Ho guardato lì e ho trovato il codice sorgente in bella vista, era abbastanza chiaro vedere cosa faceva il programma. Lì ho trovato la sua infrastruttura, che conteneva tutte le informazioni sulle sue vittime, insieme al codice che permetteva loro di controllarlo tramite un bot di Telegram. Quel bot aveva bisogno di accedere con le credenziali, ma... le avevano lasciate visibili a tutti nel codice e da lì siamo riusciti a entrare e smantellare l'infrastruttura", ha spiegato 1989 , un ricercatore indipendente sulla sicurezza.

Una volta riusciti ad accedere al bot di Telegram, hanno scoperto account di social media che conducevano a un presunto profilo personale appartenente a un uomo di nome " Valentín ", un argentino che vive a Miami e pubblica foto di sé stesso con auto di lusso e vari dettagli sulla sua vita privata. Diversi account hanno reso virali le sue immagini e i suoi account sono stati presto cancellati.

L'obiettivo ha parlato con Maximiliano Firtman , un programmatore che ha caricato un video su Twitter, in cui il giovane nega di aver compiuto l'attacco e afferma di dedicarsi alla "compravendita di account sui social media", una pratica piuttosto ambigua, non rara tra gli influencer.

Questa catena di indizi è coerente con una scoperta tecnica effettuata utilizzando tecniche di intelligence aperta (OSINT, ovvero l'ottenimento di informazioni pubblicamente disponibili su Internet, come social media e forum, per costruire un'indagine), ma non esiste ancora una fonte ufficiale che colleghi l'argentino all'attacco.

L'attacco è stato possibile perché la piattaforma di videogiochi Steam consente il caricamento di giochi infetti.

"Si trattava di un gioco sviluppato appositamente per distrarre le vittime, mentre dietro le quinte venivano rubati dati riservati, consentendo ai criminali di accedere ai portafogli presi di mira. Questi dati potevano includere credenziali, file e dati del browser. Ci sono due possibilità: se il trasferimento di denaro viene attivato automaticamente tramite questo programma dannoso, stiamo parlando di un drainer . Se i criminali hanno dovuto elaborare queste informazioni e interagire con esse per effettuare i trasferimenti (ottenendo tutto il necessario per farlo), stiamo parlando di uno stealer ", ha spiegato Agustín Merlo, analista di malware indipendente, in un'intervista a Clarín .

I Drainer sono molto comuni nell'ecosistema delle criptovalute. "Un Drainer di criptovalute è uno strumento che mira ad automatizzare il trasferimento di fondi dal portafoglio di una vittima a un portafoglio controllato da un criminale informatico nel mondo delle criptovalute", aggiunge.

"I dati confermano la portata di questo problema: il rapporto IC3 sulle criptovalute del 2023 ha analizzato quasi 69.500 reclami relativi alle criptovalute, rivelando che le truffe sulle criptovalute sono state responsabili di quasi il 50% delle perdite totali, pari a 5,6 miliardi di dollari, con un aumento del 45% rispetto al 2022. Questa statistica sconcertante sottolinea quanto sia diventata diffusa e impattante questa esposizione", ha dichiarato a questa testata Satnam Narang, Senior Research Engineer presso Tenable Research.

Ciò colpisce principalmente "le aziende del settore delle criptovalute, dove l'obiettivo non sarebbe quello di prosciugare il portafoglio di un singolo utente, ma piuttosto quello di tentare di compromettere gli account che hanno accesso a sistemi back-end o strumenti che potrebbero portare a significativi guadagni finanziari. Ecco perché molti exchange di criptovalute e applicazioni di finanza decentralizzata vengono considerati obiettivi, perché è lì che gli aggressori potrebbero trovare decine di milioni di dollari da rubare", aggiunge.

Il problema di fondo in questo caso è che Steam, di proprietà di Valve, una delle più grandi aziende di videogiochi al mondo, ha consentito il caricamento di un gioco infetto. Questo ha a che fare con il processo tramite il quale, una volta caricato sulla piattaforma, il software può essere aggiornato senza ulteriori controlli.

"Il processo per caricare un gioco su Steam è relativamente semplice. Una volta pagata la quota stabilita, che attualmente ammonta a 100 dollari, è necessario compilare le informazioni di base sul titolo che i giocatori vedranno sullo Steam Store, caricare immagini di riferimento, una descrizione del gioco e altri dettagli. Una volta completato l'elenco dei prerequisiti, Steam richiede che una versione del gioco venga caricata sulla piattaforma per la revisione e l'approvazione iniziale, il che richiede dai 3 ai 5 giorni lavorativi", ha dichiarato a questo giornale Patricio Marín, uno sviluppatore di videogiochi argentino.

L'autore di Pretend Cars Racing , Marín, sottolinea che il problema risiede negli aggiornamenti del gioco: "Una volta che il gioco viene approvato e caricato, tutti gli aggiornamenti successivi vengono pubblicati immediatamente, senza richiedere un'ulteriore approvazione, indipendentemente da quanto piccola o grande sia la modifica apportata al gioco ". Questo apre la porta al rischio di infezione del videogioco, come è successo in questo caso.

I ricercatori sono riusciti a convincere le aziende di sicurezza a segnalare i campioni di software come pericolosi, tra cui Virus Total, la principale azienda di identificazione di malware. Steam ha quindi rimosso il gioco.

Oltre all'indagine tecnica, la storia ha mobilitato la comunità del gaming e delle criptovalute. L'imprenditore e YouTuber Alex Becker ha donato 30.000 dollari per compensare la perdita, mentre altri utenti si sono offerti di contribuire. "Oltre 50 nerd che lavorano insieme per invertire il danno", ha riassunto uno dei partecipanti alla ricerca.

Il caso ha sollevato sospetti nella comunità crypto e scatenato linciaggi sui social media. Oltre a ciò, l'indagine rimane aperta e non ci sono ancora accuse formali. L'unica prova concreta è la scoperta di un malware all'interno di un titolo pubblicato su Steam, piattaforma che ha già rimosso il gioco, rivelando un problema con il suo sistema di controllo dei contenuti scaricabili dagli utenti.

• Criptovalute
• Sicurezza informatica