Valve ha retirado de su tienda Steam el título de juego Sniper: Phantom’s Resolution después de que varios usuarios reportaran que el instalador de la demo infectaba sus sistemas con malware destinado a robar información.
El juego, publicado bajo el nombre del desarrollador ‘Sierra Six Studios’, debía ser una vista previa anticipada del título y con un lanzamiento planeado para los próximos meses.
Alerta sobre la descarga desde fuentes no oficiales ⚠️
Antes de que el título fuera retirado, los desarrolladores advirtieron a los jugadores sobre los riesgos de descargar el juego desde fuentes externas a Steam, pero sorprendentemente la versión descargada desde la plataforma también contenía amenazas de seguridad.
Los jugadores empezaron a sospechar que algo estaba mal al notar que los activos y descripciones del juego habían sido copiados de otros títulos.
Además, se les solicitaba descargar el instalador de la demo desde un repositorio externo en GitHub en lugar de hacerlo desde Steam.
Análisis del instalador muestra malware ️♂️
Al analizar el archivo instalador, usuarios de Reddit notaron que estaba nombrado como ‘Windows Defender SmartScreen.exe’ y descubrieron herramientas de ataque comunes como una utilidad de escalada de privilegios, un wrapper de Node.js y la herramienta ‘Fiddler’ que puede interceptar cookies.
El malware también ejecutaba una serie de scripts de Node.js que los eliminaba rápidamente para evadir la detección e incluso corría un script llamado ‘createShortcut.vbs’ para mantener su persistencia añadiendo una tarea de inicio para el ejecutable.
Otra indicación de que el juego era realmente malicioso es que el mismo perfil de desarrollador en GitHub, ‘arda1337’, alojaba herramientas de criptomonedas y kits de herramientas de bots para Telegram.
Medidas tomadas por las plataformas
GitHub eliminó rápidamente el repositorio malicioso después de los reportes de los usuarios y al día siguiente Valve también eliminó el juego de Steam.
Luego de los informes y las acciones tomadas por las dos plataformas, el sitio web del desarrollador en ‘sierrasixstudios[.]dev’ ha sido puesto fuera de línea.
Recomendaciones para los usuarios afectados
Los usuarios que instalaron el juego probablemente han infectado sus computadoras con malware y se les recomienda desinstalar el título y realizar un escaneo completo del sistema para eliminar los archivos maliciosos restantes.
Este incidente se produce apenas un mes después de que Steam alojara el juego PirateFi utilizado para distribuir el malware Vidar, que roba información. Las estadísticas mostraron que el juego fue descargado por hasta 1.500 usuarios.