Mã độc đã được phân phối thông qua mod trên Steam để lấy thông tin người dùng và mật khẩu được lưu trữ trong trình duyệt và các ứng dụng trò chuyện.

Trong dịp Giáng Sinh, các kẻ tấn công đã truy cập vào tài khoản Steam của nhà phát triển Downfall và tạo ra các tải xuống trò chơi với một phần mềm độc hại có tên Epsilon Information Stealer. Downfall là một mod miễn phí được tạo bởi fan, có sẵn trên Steam cho trò chơi indie mang tên Slay the Spire. Phần mềm độc hại chỉ tấn công phiên bản độc lập được điều chỉnh sẵn của Downfall, không phải là mod được cài đặt qua Steam Workshop. Chúng tôi cũng lưu ý rằng tải xuống chứa mã độc chỉ có sẵn trong một giờ trước khi bị phát hiện.

Phần mềm độc hại Epsilon Information Stealer có thể được sử dụng để lấy mật khẩu của người dùng nhiễm trùng từ trình duyệt internet, cookie, Discord, Steam và thông tin được lưu trữ bởi Telegram. Nhà phát triển của Downfall cho biết với Bleeping Computer: "Một trong các thiết bị của chúng tôi đã bị tấn công bởi mã độc mà không bị phát hiện hoặc chặn bởi bảo mật mà chúng tôi đã cài đặt trên đó. Theo như tôi hiện tại biết, đó không phải là mã độc lấy mật khẩu vì 2FA không kích hoạt hoặc ngăn chặn điều này, và tất cả các tài khoản bị chiếm đó đều dưới các địa chỉ email khác nhau (và không có địa chỉ email nào bị đánh cắp)," nhưng nhanh chóng thêm rằng họ không thể chắc chắn cho đến khi đánh giá chuyên nghiệp về sự vi phạm được thực hiện.

Nhà phát triển đã đăng thông báo cập nhật trên Steam về sự vi phạm này, khuyến nghị rằng nếu người chơi thấy một cửa sổ bật lên từ Unity vào dịp Giáng Sinh, họ nên thay đổi mật khẩu, đặc biệt là người dùng không có xác minh hai yếu tố. Họ cũng thêm: "Bất kỳ tài khoản nào được thiết lập cho 2FA trên di động sẽ được bảo vệ. Bạn cũng nên đảm bảo rằng bảo vệ trực tiếp của bạn đang hoạt động và chạy các quét. Tuy nhiên, để yên tâm hoàn toàn, tôi quyết định đặt lại và xóa tất cả các ổ đĩa từ phần cứng bị ảnh hưởng của tôi." Nhà phát triển cũng cho biết họ có thể liên hệ qua Discord nếu người dùng bị ảnh hưởng cần bất kỳ sự giúp đỡ nào. Luôn là một ý tưởng tốt khi sử dụng hệ thống xác minh hai yếu tố để tăng cường bảo mật.

Epsilon Information Stealer thường được sử dụng cho các cuộc tấn công thông qua các mod trong cộng đồng game. Thông thường, game thủ trên Discord đã bị lừa để cài đặt phần mềm độc hại này khi một kẻ tấn công giả vờ rằng việc tải xuống là một add-on hoặc phiên bản thử nghiệm của một trò chơi, và họ cần sự trợ giúp để tìm lỗi.

Việc sử dụng các mod độc lập và bên thứ ba để lan truyền phần mềm độc hại lấy thông tin đã trở nên phổ biến gần đây. Các mod Minecraft trước đây thường được kẻ tấn công ưa thích để triển khai phần mềm độc hại Bleeding Pipe cho người dùng không ngờ tới, ví dụ. Từ tháng 10, Steam đã yêu cầu nhà phát triển sử dụng hệ thống xác minh bảo mật dựa trên tin nhắn SMS để ngăn tải lên các tệp tin bị ảnh hưởng. Chúng tôi rất tò mò để xem đánh giá chuyên nghiệp cuối cùng sẽ thế nào, để tìm hiểu cách phần mềm độc hại Epsilon Information Stealer đã vượt qua.