Una mod gratuita per il gioco Slay the Spire, chiamata Downfall, è stata oggetto di una violazione da parte di alcuni hacker, che hanno sfruttato una falla nella sicurezza di Workshop di Steam. Lo sviluppatore della mod, Table 9 Studio, ha reso noto l’accaduto e ha fornito alcune indicazioni per verificare se si è stati colpiti dal malware.
Come funziona Workshop di Steam e perché è vulnerabile
Workshop di Steam è una piattaforma che permette agli utenti di creare e condividere contenuti personalizzati per i giochi disponibili su Steam, il più popolare servizio di distribuzione digitale di videogiochi. Le mod, ovvero le modifiche ai giochi originali, sono tra i contenuti più apprezzati dagli utenti, in quanto offrono nuove esperienze di gioco e maggiore varietà.
Tuttavia, la piattaforma presenta anche dei rischi per la sicurezza degli utenti, in quanto non dispone di un sistema di verifica efficace per i contenuti caricati dagli sviluppatori. Inoltre, Workshop di Steam impone l’aggiornamento automatico dei contenuti, il che significa che ogni volta che una mod viene modificata, la versione più recente viene scaricata sul PC dell’utente, senza possibilità di scegliere se accettare o rifiutare l’aggiornamento. Questo spiana la strada agli hacker, che possono inserire file dannosi nelle mod e diffonderli rapidamente tra gli utenti.
Cosa è successo alla mod Downfall e come sapere se si è stati infettati
L’attacco hacker alla mod Downfall è avvenuto il 25 dicembre, tra le 13:20 e le 14:30 (ora locale). Gli hacker sono riusciti a entrare negli account Steam e Discount di Table 9 Studio e a sostituire i file della mod con altri contenenti malware. Il malware aveva lo scopo di rubare dati sensibili dagli utenti, come password, cookie, informazioni di pagamento e altri dati personali, dai browser web e da altre applicazioni come Telegram, Discord, ecc.
Table 9 Studio ha scoperto la violazione in serata e ha bloccato il download della mod dannosa, ripristinando la versione originale. Lo sviluppatore ha anche pubblicato un annuncio per avvisare gli utenti e spiegare come verificare se si è stati infettati.
Secondo lo sviluppatore, non tutti gli utenti della mod Downfall sono stati esposti al malware. Solo coloro che hanno lanciato la mod durante la finestra di violazione, tramite il launcher Discount, potrebbero essere a rischio. Invece, coloro che hanno lanciato la mod tramite Steam Workshop, cioè avviando Slay the Spire, non dovrebbero aver subito alcun danno. Inoltre, se il gioco è stato avviato normalmente, senza errori o anomalie, significa che non è stato infettato. Se invece si è ricevuto un messaggio di errore “no .exe found” o si è vista una schermata nera con del testo, si tratta di misure di sicurezza adottate dallo sviluppatore per impedire l’esecuzione del malware.
Come riconoscere e rimuovere il malware WindowsBootManager
Il segnale più evidente di una possibile infezione è la comparsa di un pop-up di installazione della libreria Unity al momento dell’avvio della mod. Chi si è imbattuto in questo pop-up, deve eseguire una scansione antivirus e di cambiare le password dei propri account online. Si consiglia anche di attivare il sistema di autenticazione a due fattori (2FA) per una maggiore protezione.
Il malware si nasconde sotto il nome di WindowsBootManager e si installa nella cartella AppData dell’utente o nella cartella users/[username]/AppData/Local/Temp. Tra i file creati dal malware, ce n’è uno chiamato epsilon-[nomeutente].zip che contiene dati sensibili come password, cookie, carte di credito, ecc. Un utente ha riferito di aver scoperto il malware nella cartella Local\microsoft\windows\0, dove si presentava come un videogioco. Ha anche notato la presenza di un altro file sospetto nella cartella localtemp, chiamato unitylibmanager. Per eliminare il malware, è necessario cancellare tutti questi file e scansionare il computer con un antivirus affidabile.
Ma gli utenti possono tirare un sospiro di sollievo, poiché la mod Downfall è stata ripulita e resa di nuovo sicura per il gioco.
Steam cambia le regole per gli sviluppatori
Steam ha annunciato di voler introdurre alcune misure di sicurezza più severe per la pubblicazione dei giochi sul suo sito. A breve, infatti, gli sviluppatori dovranno fornire un numero di telefono per ricevere i codici di autenticazione a due fattori (2FA) dai server di Valve, la società che gestisce la popolare piattaforma di videogiochi. Ciò significa che, ogni volta che vorranno caricare una nuova versione del loro gioco, dovranno inserire il codice che riceveranno via SMS.
Questa mossa ha lo scopo di prevenire il furto di account e la pubblicazione di giochi fraudolenti o infetti. Tuttavia, molti sviluppatori hanno espresso le loro perplessità riguardo all’uso di questa modalità, poiché è un protocollo di comunicazione non sicuro e facilmente intercettabile. Hanno quindi chiesto a Valve di considerare l’uso di app 2FA, che sono più affidabili e protette. Si spera che Valve ascolti le loro richieste e migliori il suo sistema di sicurezza.