Chory na raka streamer stracił oszczędności z powodu wirusa gry wideo, a oskarżonym został Argentyńczyk mieszkający w Miami.
Pacjent z zaawansowanym nowotworem został okradziony z 30 000 dolarów przeznaczonych na leczenie. Atak miał miejsce, gdy streamował grę wideo na Steamie , jednej z największych platform gier na PC na świecie, zainfekowaną wirusem, którego celem była kradzież portfeli kryptowalutowych . Różne konta w mediach społecznościowych połączyły fakty i wskazały Argentyńczyka mieszkającego w Miami jako sprawcę kradzieży.
Wszystko działo się na żywo. „RastaLand”, streamer gier wideo cierpiący na mięsaka czwartego stopnia (nowotwór atakujący kości i tkanki miękkie), streamował, gdy zgodził się wypróbować grę oferowaną przez nieznajomego: Block Blasters. Obiecano mu, że zagra w nią na swoim kanale i w zamian otrzyma wynagrodzenie. Ale to było oszustwo.
Gra zawierała złośliwe oprogramowanie ( wirusa ) zaprojektowane w celu kradzieży danych uwierzytelniających i opróżnienia portfeli kryptowalutowych. W ciągu kilku minut RastaLand stracił około 30 000 dolarów, które zebrał z darowizn na pokrycie kosztów leczenia.
„Jestem załamany” – można było usłyszeć w transmisji, jak mówi, podczas gdy jego przyjaciel próbuje go pocieszyć. To rozdzierająca serce scena.
Wczoraj streamer gier wideo o pseudonimie @rastalandTV nieumyślnie transmitował na żywo sam siebie, padając ofiarą kampanii wysysającej kryptowaluty.
Ta konkretna kampania spearphishingowa jest wyjątkowo odrażająca, ponieważ RastaLand cierpi na mięsaki w stadium 4 i aktywnie poszukuje… pic.twitter.com/yaNrofaK6u
Sprawa zaostrzyła się na Twitterze, gdy „Smelly”, administrator znanej witryny VX Underground , zajmującej się złośliwym oprogramowaniem, udostępnił ponownie nagranie zapłakanej ofiary. Od tego czasu zaczął dawać do zrozumienia, że to mistyfikacja.
Różni badacze, nazywani przez użytkownika „Smelly” na Twitterze „nerdami”, przeanalizowali złośliwe oprogramowanie i twierdzą, że znaleźli dane uwierzytelniające w kodzie, który wysłał skradzione dane na kanał Telegramu. Po połączeniu się z tym kanałem z tymi samymi danymi uwierzytelniającymi, znaleźli wiadomości i użytkowników powiązanych z operacją i wykorzystali te identyfikatory do śledzenia publicznych profili na innych platformach.
Te media skontaktowały się z jednym z badaczy , którym udało się wyłączyć infrastrukturę atakujących i sporządziły raport kryminalistyczny : „Gra jest dostępna do pobrania dla każdego na Steamie , z „manifestem” wszystkich plików, które ją tworzą. Zajrzałem tam i znalazłem kod źródłowy na widoku, całkiem jasno widać było, co program robi. Znalazłem tam infrastrukturę, która zawierała wszystkie informacje o ofiarach, wraz z kodem, który pozwalał im kontrolować ją za pomocą bota Telegrama. Ten bot musiał zalogować się przy użyciu danych logowania, ale... Pozostawili je widoczne dla wszystkich w kodzie i dzięki temu udało nam się włamać i wyłączyć infrastrukturę” – wyjaśnił 1989 , niezależny badacz bezpieczeństwa.
Argentyńczyk, znany jako Valentín, jest gwiazdą Instagrama. Zdjęcie: InstagramPo uzyskaniu dostępu do bota Telegrama, odkryli konta w mediach społecznościowych, które prowadziły do domniemanego profilu osobistego mężczyzny o imieniu „ Valentín ”, Argentyńczyka mieszkającego w Miami, który publikuje zdjęcia siebie z luksusowymi samochodami oraz różne materiały demaskujące jego życie osobiste. Kilka kont sprawiło, że jego zdjęcia stały się viralem, a jego konta wkrótce zostały usunięte.
Osoba, której dotyczył atak, rozmawiała z Maximiliano Firtmanem , programistą, który zamieścił na Twitterze film, w którym młody mężczyzna zaprzecza, jakoby przeprowadził atak. Twierdzi, że zajmuje się „kupowaniem i sprzedawaniem kont w mediach społecznościowych”, co jest szarą strefą działalności, nierzadką wśród influencerów.
Ten ciąg poszlak jest zgodny z odkryciem technicznym dokonanym przy użyciu otwartych technik wywiadowczych (OSINT, czyli pozyskiwanie informacji publicznie dostępnych w Internecie, np. w mediach społecznościowych i na forach, w celu prowadzenia śledztwa), ale nadal nie ma oficjalnego źródła łączącego Argentyńczyka z atakiem.
Block Blasters, zainfekowana gra wideo na Steamie. Zdjęcie: SteamAtak był możliwy, ponieważ platforma gier wideo Steam umożliwia ładowanie zainfekowanych gier.
„To była gra stworzona specjalnie po to, by odwrócić uwagę ofiar, podczas gdy poufne dane były kradzione za kulisami, umożliwiając przestępcom dostęp do wybranych portfeli. Dane te mogły obejmować dane uwierzytelniające, pliki i dane przeglądarki. Istnieją dwie możliwości: jeśli przelew pieniędzy jest automatycznie uruchamiany przez ten złośliwy program, mówimy o drenażu . Jeśli przestępcy musieliby przetwarzać te informacje i wchodzić z nimi w interakcję, aby dokonać przelewów (uzyskując wszystko, co niezbędne do tego celu), mówimy o złodzieju ” – wyjaśnił Agustín Merlo, niezależny analityk złośliwego oprogramowania, w wywiadzie dla Clarín .
Drainery są bardzo powszechne w ekosystemie kryptowalut. „Drenarz kryptowalut to narzędzie, którego celem jest zautomatyzowanie transferu środków z portfela ofiary do portfela kontrolowanego przez cyberprzestępcę w świecie kryptowalut” – dodaje.
„Dane potwierdzają skalę tego problemu: raport IC3 Cryptocurrency Report z 2023 roku przeanalizował prawie 69 500 skarg związanych z kryptowalutami, ujawniając, że oszustwa związane z kryptowalutami były odpowiedzialne za prawie 50% całkowitych strat, wynoszących 5,6 miliarda dolarów, co stanowi wzrost o 45% w porównaniu z 2022 rokiem. Ta szokująca statystyka podkreśla, jak powszechne i jak duży wpływ ma to zjawisko” – powiedział Satnam Narang, starszy inżynier ds. badań w Tenable Research.
Platforma Steam, należąca do Valve, jest jedną z największych platform gier wideo na świecie. Zdjęcie: ValveDotyczy to przede wszystkim „firm z branży kryptowalut, których celem nie jest opróżnienie portfela pojedynczego użytkownika, ale próba włamania się na konta z dostępem do systemów zaplecza lub narzędzi, co może przynieść znaczne korzyści finansowe. Dlatego wiele giełd kryptowalut i zdecentralizowanych aplikacji finansowych staje się celem ataków, ponieważ to właśnie tam atakujący mogliby znaleźć dziesiątki milionów dolarów do kradzieży” – dodaje.
Podstawowy problem w tym przypadku polega na tym, że platforma Steam, należąca do Valve, jednego z największych producentów gier wideo na świecie, zezwoliła na przesłanie zainfekowanej gry. Ma to związek z procesem, w którym oprogramowanie po przesłaniu na platformę można aktualizować bez konieczności dalszej kontroli.
„Proces przesyłania gry na platformę Steam jest stosunkowo prosty. Po uiszczeniu ustalonej opłaty, która obecnie wynosi 100 dolarów, należy uzupełnić podstawowe informacje o tytule, które gracze zobaczą w sklepie Steam, przesłać obrazy referencyjne, opis gry i inne szczegóły. Po spełnieniu listy wymagań wstępnych Steam żąda przesłania wersji gry na platformę w celu sprawdzenia i wstępnej akceptacji, co zajmuje od 3 do 5 dni roboczych” – powiedział Patricio Marín, argentyński twórca gier wideo, w rozmowie z tym portalem.
Autor Pretend Cars Racing , Marín, zauważa, że problem leży w aktualizacjach gry: „Gdy gra zostanie zatwierdzona i przesłana, wszelkie kolejne aktualizacje są publikowane natychmiast, bez konieczności uzyskania dodatkowej zgody, niezależnie od tego, jak mała lub duża jest zmiana w grze ”. To otwiera drogę do zainfekowania gry wideo, co miało miejsce w tym przypadku.
Badaczom udało się nakłonić firmy zajmujące się bezpieczeństwem do oznaczania próbek oprogramowania jako niebezpiecznych, a jedną z nich była Virus Total, wiodąca firma zajmująca się identyfikacją złośliwego oprogramowania. W rezultacie Steam usunął grę.
Poza technicznym śledztwem, historia zmobilizowała społeczność graczy i kryptowalut. Przedsiębiorca i YouTuber Alex Becker przekazał 30 000 dolarów na rekompensatę straty, a inni użytkownicy zaoferowali wsparcie finansowe. „Ponad 50 nerdów współpracuje, aby naprawić szkody” – podsumował jeden z uczestników badania.
Sprawa wzbudziła podejrzenia w społeczności kryptowalutowej i wywołała lincz w mediach społecznościowych. Poza tym śledztwo pozostaje w toku i nie postawiono jeszcze żadnych formalnych zarzutów. Jedynym konkretnym dowodem jest odkrycie złośliwego oprogramowania w grze opublikowanej na platformie Steam, która już usunęła grę, co wskazuje na problem z systemem kontroli treści dostępnych do pobrania przez użytkowników.
Otrzymuj wszystkie wiadomości, relacje, historie i analizy od naszych wyspecjalizowanych dziennikarzy na swój adres e-mail.
CHCĘ TO OTRZYMAĆ
Clarin
