Vai al contenuto principale
Indagine su "Steam Not Good Guy"

Il profitto prima dei giocatori: l’insabbiamento di BlockBlasters (Scandali su Steam, Parte 1)

Stiamo lanciando un’inchiesta in più parti volta a svelare la verità nascosta su Steam, che metterà in luce la corruzione alla base delle sue operazioni, gli abusi sistematici, lo sfruttamento e la negligenza che hanno danneggiato milioni di utenti, e che smaschererà come un monopolio globale abbia trasformato una piattaforma di videogiochi in una macchina di manipolazione e profitto silenzioso.

Inchiesta su Steam BlockBlasters - Il profitto prima dei giocatori

Risultato critico

Steam mente spudoratamente, copre i criminali e ostacola le indagini.

Introduzione: Un reato di negligenza premeditata

Nell’agosto del 2025, Steam, la più grande piattaforma di videogiochi al mondo, non solo ha subito una violazione della sicurezza, ma l’ha anche provocata attivamente. A causa di una serie di errori sistemici e di grave negligenza, Valve ha permesso che il gioco BlockBlasters (AppID 3872350) per trasformarsi in un cavallo di Troia al servizio di una devastante campagna di malware. Non si è trattato di un attacco sofisticato e inevitabile. È stata un’operazione di furto di dati da manuale, riuscita proprio perché la sicurezza di Steam è fondamentalmente compromessa. Per 22 giorni, ha sottratto centinaia di migliaia di dollari, svuotato portafogli di criptovalute e compromesso gli account degli utenti, mentre Valve non ha fatto nulla.

Quando la verità è venuta a galla, la reazione di Valve non è stata quella di proteggere i propri utenti, ma di salvaguardare la propria immagine. L’azienda ha rilasciato un unico comunicato ingannevole, attribuendo la colpa a un “account sviluppatore compromesso” — una patetica menzogna volta a scaricare la responsabilità e a proteggersi da eventuali conseguenze. Questo articolo smonterà tale menzogna. Avvalendoci di dati forensi, analisi cronologica e delle stesse politiche di Valve, dimostreremo che questo incidente non è stato solo un’omissione, ma un insabbiamento deliberato di negligenza criminale.

Cronologia della negligenza aziendale: Giorno 1 – diffusione del malware; Giorno 3 – prime segnalazioni; Giorno 3 – segnalazioni multiple; Giorno 10 – nessuna azione intrapresa con 1.489.500 vittime esposte al rischio; Giorno 22 – finalmente rimosso
Cronologia della negligenza aziendale: Giorno 1 – diffusione del malware; Giorno 3 – prime segnalazioni; Giorno 3 – segnalazioni multiple; Giorno 10 – nessuna azione intrapresa con 1.489.500 vittime esposte al rischio; Giorno 22 – finalmente rimosso

Identità allo scoperto

Steam mente spudoratamente e nasconde Valentin Lopes, lo sviluppatore verificato che sta dietro all'applicazione dannosa.

I 22 giorni di inazione

Valve aveva 22 giorni per porre fine a questa situazione. Le segnalazioni degli utenti si susseguivano e i dati della piattaforma mostravano chiari segnali di problemi. Il loro silenzio è stata una scelta.

31 luglio 2025

BlockBlasters viene lanciato. Una versione pulita e legittima viene approvata dal processo di verifica di Steam.

30 agosto 2025

La trappola è pronta. Gli hacker rilasciano la patch build 19799326. Questo aggiornamento, che contiene il payload del malware, viene approvato da Steam e distribuito a tutti i giocatori.

Inizi settembre 2025

Le prime vittime lanciano l'allarme. Gli utenti inondano l'assistenza di Steam di segnalazioni in cui denunciano un utilizzo anomalo della CPU, traffico di rete sospetto e, cosa ancora più grave, il furto di criptovaluta. Queste segnalazioni finiscono in un buco nero, ignorate da Valve.

6 settembre 2025

I dati lanciano un chiaro segnale di allarme. I dati telemetrici pubblici di SteamDB mostrano che il numero di giocatori è crollato a una cifra, eppure il gioco rimane installato su centinaia di computer, dove continua a sottrarre dati in modo silenzioso. Questa enorme discrepanza è un campanello d'allarme che qualsiasi sistema di monitoraggio competente avrebbe dovuto rilevare.

21 settembre 2025

La comunità entra in azione. Alcuni ricercatori indipendenti nel campo della sicurezza smascherano l'infrastruttura di comando e controllo del malware basata su Telegram, costringendo gli hacker a scoprire le loro carte.

22 settembre 2025

Le prove sono innegabili. G DATA CyberDefense AG pubblica un rapporto forense completo che conferma il vettore di attacco in più fasi del malware e svela i dettagli tecnici della violazione.

L'anatomia dell'attacco

Non si trattava di un malware all’avanguardia. Era un mix rudimentale ma efficace di script comuni e programmi di furto di dati che una piattaforma da miliardi di dollari avrebbe dovuto individuare senza alcuna difficoltà.

Fase 1: Compromissione iniziale (game2.bat)

Il payload iniziale, un semplice script batch, ha eseguito un'attività di ricognizione di base: raccolta di indirizzi IP, dati di geolocalizzazione e informazioni sugli utenti di Steam. Ha poi scaricato un file ZIP protetto da password (v1.zip) — una tecnica classica per aggirare gli scanner automatici più semplici.

Fase 2: Evasione e escalation (VBS Loaders)

Utilizzando script VBS, il malware eseguiva i propri componenti principali in finestre di comando nascoste. Aggiungeva la propria directory all'elenco delle esclusioni di Microsoft Defender, un'azione che dovrebbe attivare un avviso immediato e ad alta priorità su qualsiasi sistema monitorato.

Fase 3: Furto di dati (Client-built2.exe e Block1.exe)

Una volta disattivate le difese, il malware ha distribuito i suoi payload principali: una backdoor basata su Python per garantire un accesso persistente e una variante dello stealer StealC. Ha preso di mira i dati dei browser, i token di sessione e, soprattutto, i portafogli di criptovalute su Chrome, Edge e Brave. Tutti i dati rubati sono stati convogliati verso due server di comando e controllo tramite traffico HTTP non protetto. Gli IOC relativi al drainer di criptovalute hanno confermato che Steam è stato utilizzato come vettore di distribuzione del malware per operazioni di furto organizzate.

Fiducia tradita

Sono stati proprio la fiducia riposta in loro e la loro negligenza a causare decine di furti che hanno cercato di insabbiare. Si tratta di un attacco alla catena di approvvigionamento da manuale, che sfrutta su larga scala la fiducia riposta nella piattaforma.

Indicatori di compromissione (IOC)

FileSHA256Classificazione
game2.bat aa1a1328e0d0042d071bca13ff9a13116d8f3cf77e6e9769293e2b144c9b73b3 BAT.Trojan-Stealer.StimBlaster.F
launch1.vbs c3404f768f436924e954e48d35c27a9d44c02b7a346096929a1b26a1693b20b3 Script.Malware.BatchRunner.A@IOC
test.vbs b2f84d595e8abf3b7aa744c737cacc2cc34c9afd6e7167e55369161bc5372a9b Script.Malware.BatchRunner.A@IOC
Client-built2.exe 17c3d4c216b2cde74b143bfc2f0c73279f2a007f627e3a764036baf272b4971a Win64.Backdoor.StimBlaster.L6WGC3
Block1.exe59f80ca5386ed29eda3efb01a92fa31fb7b73168e84456ac06f88fdb4cd82e9eWin32.Trojan-Stealer.StealC.RSZPXF

Smascherare la menzogna: la storia dell’«account hackerato» è una vera e propria farsa

Lo scandalo è stato smascherato

Steam nasconde la verità e aiuta le vittime, mentre la loro azienda controlla gli sviluppatori e assegna il massimo certificato di affidabilità ai loro contenuti.

Chiamiamo la scusa di Valve sullo “sviluppatore vittima di un attacco hacker” con il suo vero nome: una bugia patetica e facilmente smentibile. È un insulto all’intelligenza dei propri utenti, una versione dei fatti architettata per proteggerli dalle conseguenze della loro stessa negligenza. Tutta questa fantasia crolla nel momento stesso in cui si esaminano le procedure obbligatorie previste da Steam.

L'inganno fondamentale: manomissione di una scena del crimine digitale

È qui che l’insabbiamento da parte di Valve passa dalla semplice negligenza a ciò che può essere descritto solo come manomissione di una scena del crimine digitale. Chiariamo questo punto senza ombra di dubbio: Valve non ha rimosso il gioco infetto.

Le prove forensi e le analisi condotte dai ricercatori di sicurezza che hanno monitorato l’infrastruttura C2 lo confermano in modo inequivocabile: sono stati gli stessi criminali a cancellare le loro build dannose dai server di Steam. Lo hanno fatto il 21 settembre, solo dopo che il loro gruppo di controllo su Telegram era stato reso pubblico. Hanno messo in atto una strategia di “terra bruciata”, distruggendo le prove per coprire le loro tracce.

Manomissione di una scena del crimine digitale: la mano di Steam/Valve supera il nastro con la scritta “Non oltrepassare”, mentre PhishDestroy indaga con una lente d’ingrandimento
Manomissione di una scena del crimine digitale: la mano di Steam/Valve supera il nastro con la scritta “Non oltrepassare”, mentre PhishDestroy indaga con una lente d’ingrandimento

L'affermazione di Valve secondo cui avrebbe preso provvedimenti è una palese menzogna. Aspettando che gli autori dell'attacco cancellassero le proprie tracce prima di intervenire per rimuovere la pagina dello store, Valve ha di fatto permesso che le prove principali venissero distrutte. Non si è trattato di un'azione volta a limitare i danni, ma di ostruzione alla giustizia. Non stavano proteggendo gli utenti, ma stavano proteggendo se stessi assicurandosi che la scena del crimine fosse ripulita.

Il costo umano dell'indifferenza delle aziende

La negligenza di Valve ha avuto conseguenze concrete, per le quali l'azienda non si è assunta alcuna responsabilità.

Il movente: il profitto prima delle persone

Perché Valve dovrebbe permettere che ciò accada? Il motivo è tanto semplice quanto cinico: era più economico.

Una vera e propria revisione della sicurezza — che preveda l’implementazione di test in ambiente sandbox per tutte le build, la separazione delle credenziali degli sviluppatori, l’assunzione di un team di sicurezza competente e la pubblicazione di rapporti di trasparenza — costerebbe milioni. Il risarcimento delle vittime costituirebbe un precedente oneroso.

L'alternativa? Rilasciare una dichiarazione vaga e fuorviante, lasciare che l'attenzione dei media si spostasse altrove e limitare al minimo il danno d'immagine. Si è trattato di una decisione aziendale ponderata, in cui la sicurezza degli utenti è stata considerata una perdita accettabile.

Questo modello di negligenza non è una novità. Da PirateFi (2024) a Chemia (2025), Valve ha ripetutamente ignorato gli avvertimenti e permesso l’ingresso di malware sulla propria piattaforma, intervenendo solo in seguito alle proteste dell’opinione pubblica. BlockBlasters non è stato un caso isolato; è stato il risultato inevitabile di una cultura della sicurezza marcia.

Verdetto finale: colpevole dei capi d'accusa

Lasciamo che siano i fatti a parlare da soli.

Valve non si è limitata a fallire. Ha mentito. Ha insabbiato la propria negligenza, ha tutelato i propri profitti e ha lasciato che fossero gli utenti a pagarne le conseguenze. La fiducia che la comunità riponeva in Steam è stata irrimediabilmente compromessa. Non si è trattato di un errore, ma di un tradimento.

Leggi l'inchiesta completa su Medium

Questo è un estratto della nostra approfondita inchiesta in più parti. Leggi il rapporto completo con ulteriori prove, cronologie e analisi.

Leggi su Medium →
Torna alle notizie
#Steam#Valve#CryptoDrainer#Malware#GamingSecurity

Indagini correlate

Oltre 150 estensioni Mozilla false: un unico backend, un'unica rete
INDAGINE
Oltre 150 estensioni Mozilla false: un unico backend, un'unica rete
$0 Takedowns: How We Disrupt Phishing Infrastructure
INDAGINE
$0 Takedowns: How We Disrupt Phishing Infrastructure
NameSilo, Webnic, NiceNIC: registrar che favoriscono le truffe
INDAGINE
NameSilo, Webnic, NiceNIC: registrar che favoriscono le truffe
Avviso sulla trasparenza. PhishDestroy è un progetto indipendente e senza fini di lucro. La nostra ricerca potrebbe riflettere un pregiudizio intrinseco nei confronti delle infrastrutture utilizzate per le truffe e dei servizi che le rendono possibili. Invitiamo i lettori a valutare tutto il materiale in modo critico e autonomo. Leggi la nostra dichiarazione completa sulla trasparenza →