Chemia en Steam disfraza malware en actualizaciones de juegos

Un misterioso juego de Steam llamado Chemia se está utilizando para distribuir malware silenciosamente a través de sus actualizaciones, según investigadores. El juego, disponible solo mediante acceso anticipado por solicitud, está vinculado a un conocido grupo de hackers, y este es el tercer incidente conocido de malware que se introduce en la plataforma. Con capturas de pantalla deficientes, sin presencia pública del desarrollador y un ejecutable oculto oculto entre sus archivos, Chemia parece más un cebo que un juego de supervivencia independiente. Y aunque Valve aún no ha respondido públicamente, la forma en que se desarrollaron este y otros incidentes anteriores demuestra que las defensas actuales de Steam no impiden el acceso de juegos maliciosos a la tienda.

Los investigadores de ciberseguridad de Prodaft afirman que el caso de Chemia no solo involucra a desarrolladores sospechosos. Según su informe, el juego está siendo utilizado por un grupo de hackers conocido como Larva-208 (también conocido como EncryptHub). Supuestamente, el grupo ha inyectado dos tipos conocidos de malware en el juego: Fickle Stealer y HijackLoader. Estos se activan cuando los usuarios descargan e inician el juego, ejecutándose en paralelo con el propio software. Y aunque Chemia está bloqueado tras un sistema de acceso basado en solicitudes, sigue activo en Steam.

"Cuando los usuarios descargan e inician el juego, el malware se ejecuta junto con la aplicación legítima", escribió Prodaft.

Esa cita, publicada en el GitHub de Prodaft, venía acompañada de un desglose de lo que realmente está sucediendo en los archivos del juego. Los investigadores afirman que el 22 de julio, los hackers añadieron un archivo llamado

CVKRUTNP.exe

En la compilación de Chemia. Este archivo funciona como HijackLoader y su función es introducir silenciosamente aún más malware, como Vidar, diseñado para robar información personal y datos del navegador de los usuarios infectados.

__TOKEN DE CÓDIGO CORTO_0__

Se supone que Chemia es obra de "Aether Forge Studios", un desarrollador sin sitio web ni presencia online. La propia ficha de Steam es imprecisa, describiendo a Chemia como un juego de supervivencia y creación. Sin embargo, las únicas imágenes disponibles muestran fondos genéricos y sencillos: sin personajes, sin interfaz de usuario, sin jugabilidad. La teoría actual es que el juego se configuró como un caballo de Troya, ofreciendo lo mínimo necesario para parecer real y aparecer en Steam.

Esta no es la primera vez que hackers explotan el sistema de distribución de Steam. En marzo, otro incidente involucró a un próximo FPS llamado Sniper: Phantom's Resolution. En ese caso, el hacker no introdujo malware directamente en la versión de Steam. En su lugar, la página del juego enlazaba a un sitio externo con una demo falsa. Ese dominio...

sierrasixstudios.dev

Apareció en la página oficial, pero los desarrolladores reales aún no lo habían comprado. Un estafador registró el dominio, cargó malware y engañó a los usuarios para que lo descargaran mediante enlaces para compartir archivos.

El estudio detrás de Sniper: Phantom's Resolution confirmó que se vieron envueltos en un lío. Un representante llamado Andrew explicó el error en una publicación de Reddit, afirmando que el equipo planeaba crear un sitio web real con el tiempo, pero que no esperaban que nadie se hiciera con el nombre tan rápido. Tras descubrir los archivos maliciosos, Valve eliminó la página de Steam.

A principios de este año, otro juego llamado PirateFi también evadió las medidas de seguridad de Valve. Se trataba de un título gratuito subido directamente a Steam y que además contenía malware. El hacker lo promocionó en Telegram, utilizando mensajes de bots e incluso ofertas de trabajo falsas de "moderador" para atraer a la gente. No está claro cómo PirateFi evadió las comprobaciones internas de Steam, y Valve no ofreció detalles públicamente. Sin embargo, el juego fue retirado tras ser reportado.

La diferencia con Chemia radica en que se trata de un intento más directo. El malware forma parte del propio juego y se distribuye a través del sistema de distribución oficial de Steam. Esto significa que los hackers no necesitaban un sitio web falso ni enlaces externos; simplemente publicaron una actualización. La presencia del descargador de malware de respaldo dentro de los archivos muestra cómo funciona esta configuración: con un solo clic se instala el juego, lo que a su vez instala la carga útil, lo que a su vez genera aún más malware.

Hasta el momento, Valve no ha hecho ninguna declaración pública sobre el caso de Chemia. El juego sigue disponible solo por solicitud, por lo que es probable que muy pocos usuarios lo hayan instalado. Sin embargo, este alcance limitado no cambia el hecho de que este es el tercer incidente conocido relacionado con malware que involucra a Steam en menos de seis meses.

Los tres ataques siguieron tácticas ligeramente diferentes. PirateFi usó cargas internas, Sniper explotó un enlace de dominio externo y Chemia distribuye actualizaciones infectadas directamente a través de la plataforma. Esta variedad representa un problema para Valve, ya que demuestra que los atacantes están probando diferentes maneras de burlar la seguridad de la plataforma.

El análisis público de Prodaft incluye una lista completa de nombres de archivos, dominios y firmas de malware vinculados a Chemia. Estos indicadores de vulnerabilidad buscan ayudar a los proveedores de antivirus y administradores de TI a detectar infecciones. Sin embargo, para el usuario promedio, no hay mucho que hacer excepto evitar juegos desconocidos, especialmente aquellos que requieren solicitudes especiales para acceder o provienen de desarrolladores sin presencia en línea.

Prodaft no especificó cuánto tiempo llevaba Chemia en la lista antes de que se añadiera el malware. Las primeras señales de actividad ilícita aparecieron con el archivo " CVKRUTNP.exe" el 22 de julio, pero es posible que no fuera la primera actualización del juego. Si alguien instaló el juego antes, no está claro si también recibió versiones anteriores del malware. Lea también sobre cómo Steam toma medidas enérgicas contra los juegos para adultos con una nueva norma imprecisa, que ya abordamos en el texto anterior.

El problema principal es la confianza. Cuando un juego aparece en Steam, la gente asume que ha pasado una verificación básica. Y el sistema actual de Valve claramente no lo detecta todo. Por ahora, el único filtro real son los informes de los usuarios y las investigaciones de terceros como las de Prodaft. A medida que los atacantes se vuelven más creativos, esa brecha podría ampliarse.