Um jogo gratuito disponível na plataforma Steam se tornou alvo de cibercriminosos, sendo comprometido por um malware projetado para roubar dados dos usuários. O título em questão, chamado "Chemia", é um jogo de sobrevivência pós-apocalíptico que recentemente chegou à Steam em regime de acesso antecipado, sem uma data de lançamento definitiva. Apesar de sua fase inicial de desenvolvimento, o jogo atraiu a atenção de um agente malicioso que inseriu um componente perigoso em seus arquivos.

De acordo com relatos, um hacker, identificado como Larva-208, introduziu um agente de ameaças conhecido como EncryptHub nos arquivos do jogo, que estavam armazenados na Steam. O EncryptHub funciona como um injetor, permitindo a inclusão de outros softwares maliciosos no sistema.

A empresa de inteligência Prodaft foi a primeira a divulgar informações sobre o ataque, que ocorreu no dia 22. O ataque se desenrolou em camadas, com o EncryptHub abrindo caminho para a instalação de um segundo malware, o HijackLoader (CVKRUTNP.exe). O HijackLoader é um tipo de programa que carrega outros agentes maliciosos, permitindo a inclusão de ainda mais software nocivo nos arquivos do jogo.

A etapa final desse ataque em cascata envolveu a introdução do Vidar infostealer (v9d9d.exe). Este malware atua como um ladrão de informações secreto, coletando dados do usuário sem que este perceba. Após o roubo das informações, foi descoberto que os dados eram enviados ao criminoso por meio de um canal do Telegram, utilizando um servidor C2 como transmissor.

Em uma segunda fase do ataque, o Fickle Stealer foi incorporado ao jogo, apenas três horas após o EncryptHub. Este stealer é especializado em coletar dados de navegadores da web e foi instalado por meio de uma DLL, um arquivo que armazena códigos e dados. Para se conectar ao servidor C2 do hacker, o Fickle Stealer utilizou a plataforma PowerShell.

Apesar da presença dos malwares, os jogadores provavelmente não notariam nenhuma anomalia durante o jogo, como problemas de desempenho. Isso torna o ataque ainda mais insidioso, pois os usuários podem estar sendo comprometidos sem sequer suspeitar.

A Prodaft destacou que o executável comprometido aparenta ser legítimo para os usuários que o baixam da Steam, criando um componente eficaz de engenharia social que se baseia na confiança depositada na plataforma. Essencialmente, quando os usuários clicam para jogar este título gratuito, estão, sem saber, baixando um software malicioso.

É importante ressaltar a sequência de eventos que levaram à infecção do jogo:

1. O hacker Larva-208 inseriu o agente de ameaças EncryptHub nos arquivos do jogo Chemia, que estavam hospedados na Steam.
2. O EncryptHub disseminou o HijackLoader no sistema, que por sua vez executou o Vidar infostealer.
3. O Vidar infostealer coletou dados sensíveis dos usuários sem que eles percebessem.
4. Todos os dados roubados foram enviados ao criminoso por meio de um servidor C2, utilizando um canal do Telegram como ponte.
5. O segundo ato do ataque envolveu o Fickle Stealer, incorporado ao jogo por meio de uma DLL e especializado em coletar dados de navegadores da web.

Ainda não há informações definitivas sobre como o hacker conseguiu inserir o malware na Steam. Dada a alta segurança dos sistemas da plataforma, uma das hipóteses é que o hacker pode ter recebido auxílio interno de alguém com credenciais da Steam.

Até o momento, a Valve e a desenvolvedora Aether Forge Studios não se pronunciaram sobre o caso. Não está claro se a versão atual do jogo ainda contém o executável malicioso. A recomendação é aguardar mais informações e evitar o download e execução do jogo "Chemia".

Este incidente não é um caso isolado. Em 2025, pelo menos dois outros títulos disponíveis na Steam, PirateFi e Sniper: Phantom’s Resolution, também foram comprometidos por agentes maliciosos semelhantes. Ambos os jogos estavam em regime de acesso antecipado.