Ir direto para o conteúdo principal
Investigação sobre o “Steam Not Good Guy”

Lucro acima dos jogadores: o encobrimento do caso BlockBlasters (Escândalos do Steam, Parte 1)

Estamos lançando uma investigação em várias partes que revela a verdade oculta sobre o Steam, expondo a corrupção por trás de suas operações, os abusos sistêmicos, a exploração e a negligência que prejudicaram milhões de usuários, e mostrando como um monopólio global transformou uma plataforma de jogos em uma máquina de manipulação e lucro silencioso.

Investigação sobre o BlockBlasters no Steam – Lucro acima dos jogadores

Conclusão crítica

A Steam mente descaradamente, encobre criminosos e obstrui a investigação.

Introdução: Um crime de negligência deliberada

Em agosto de 2025, a maior plataforma de jogos do mundo, a Steam, não apenas sofreu uma violação de segurança, como também a facilitou ativamente. Por meio de uma cascata de falhas sistêmicas e negligência grave, a Valve permitiu que o jogo BlockBlasters (AppID 3872350) para se tornar um cavalo de Tróia em uma campanha devastadora de malware. Não se tratou de um ataque sofisticado e inevitável. Foi uma operação clássica de roubo de dados que teve sucesso porque a segurança do Steam está fundamentalmente comprometida. Durante 22 dias, ele roubou centenas de milhares de dólares, esvaziou carteiras de criptomoedas e comprometeu contas de usuários, enquanto a Valve não fez nada.

Quando a verdade veio à tona, a resposta da Valve não foi proteger seus usuários, mas sim proteger sua imagem. A empresa divulgou um único comunicado enganoso, atribuindo a culpa a uma “conta de desenvolvedor comprometida” — uma mentira patética destinada a desviar a culpa e se isentar de responsabilidade. Este artigo irá desmascarar essa mentira. Usando dados forenses, análise da linha do tempo e as próprias políticas da Valve, provaremos que esse incidente não foi apenas uma falha de ação, mas um encobrimento deliberado de negligência criminosa.

Cronograma da negligência corporativa: Dia 1 – publicação do malware; Dia 3 – primeiros relatos; Dia 3 – vários alertas; Dia 10 – nenhuma ação tomada, com 1.489.500 vítimas expostas; Dia 22 – finalmente removido
Cronograma da negligência corporativa: Dia 1 – publicação do malware; Dia 3 – primeiros relatos; Dia 3 – vários alertas; Dia 10 – nenhuma ação tomada, com 1.489.500 vítimas expostas; Dia 22 – finalmente removido

Identidade Revelada

A Steam mente descaradamente e esconde Valentin Lopes, o desenvolvedor verificado por trás do aplicativo malicioso.

A cronologia de 22 dias de inércia

A Valve teve 22 dias para impedir isso. As denúncias dos usuários não paravam de chegar, e os dados da plataforma mostravam sinais claros de que algo estava errado. O silêncio deles foi uma escolha.

31 de julho de 2025

Lançamento do BlockBlasters. Uma versão limpa e legítima é aprovada pelo processo de verificação do Steam.

30 de agosto de 2025

A armadilha está montada. Os invasores lançam a versão de patch 19799326. Essa atualização, que contém o código malicioso, é aprovada pelo Steam e distribuída a todos os jogadores.

Início de setembro de 2025

As primeiras vítimas dão o alarme. Os usuários inundam o Suporte do Steam com tickets relatando uso anômalo da CPU, tráfego de rede suspeito e, o mais grave de tudo, roubo de criptomoedas. Esses tickets caem no esquecimento, ignorados pela Valve.

6 a 12 de setembro de 2025

Os dados são um claro sinal de alerta. A telemetria pública do SteamDB mostra que o número de jogadores caiu para um dígito, mas o jogo continua instalado em centenas de computadores, extraindo dados silenciosamente. Essa enorme discrepância é um sinal de alerta que qualquer sistema de monitoramento competente deveria ter detectado.

21 de setembro de 2025

A comunidade entra em ação. Pesquisadores independentes de segurança expõem a infraestrutura de comando e controle do malware baseada no Telegram, forçando os hackers a agir.

22 de setembro de 2025

A evidência é inegável. A G DATA CyberDefense AG publica um relatório forense completo, confirmando o vetor de ataque em várias etapas do malware e revelando os detalhes técnicos da violação.

A anatomia do ataque

Não se tratava de um malware de última geração. Era uma mistura rudimentar, mas eficaz, de scripts comuns e programas de roubo de dados que deveria ter sido muito fácil de detectar para uma plataforma que movimenta bilhões de dólares.

Etapa 1: Infiltração inicial (game2.bat)

A carga útil inicial, um script de lote simples, realizou um reconhecimento básico: coletou endereços IP, geolocalização e detalhes dos usuários do Steam. Em seguida, baixou um arquivo ZIP protegido por senha (v1.zip) — uma técnica clássica para contornar scanners automatizados pouco sofisticados.

Etapa 2: Evasão e escalada (carregadores VBS)

Por meio de scripts VBS, o malware executava seus componentes principais em janelas de comando ocultas. Ele adicionava seu próprio diretório à lista de exclusões do Microsoft Defender, uma ação que deveria acionar um alerta imediato e de alta prioridade em qualquer sistema monitorado.

Etapa 3: Roubo de dados (Client-built2.exe e Block1.exe)

Com as defesas desativadas, o malware implantou suas cargas úteis principais: um backdoor baseado em Python para acesso persistente e uma variante do infostealer StealC. Ele tinha como alvo dados do navegador, tokens de sessão e, mais importante ainda, carteiras de criptomoedas do Chrome, Edge e Brave. Todos os dados roubados foram encaminhados para dois servidores de comando e controle por meio de tráfego HTTP não seguro. Os indicadores de comprometimento (IOCs) do “crypto drainer” confirmaram o Steam como um vetor de distribuição de malware para operações organizadas de roubo.

Confiança Traída

Foi justamente a confiança depositada neles e sua negligência que levaram a dezenas de furtos que eles encobrem. Isso representa um ataque clássico à cadeia de suprimentos, que explora a confiança na plataforma em grande escala.

Indicadores de Compromisso (IOCs)

ArquivoSHA256Classificação
game2.bat aa1a1328e0d0042d071bca13ff9a13116d8f3cf77e6e9769293e2b144c9b73b3 BAT.Trojan-Stealer.StimBlaster.F
launch1.vbs c3404f768f436924e954e48d35c27a9d44c02b7a346096929a1b26a1693b20b3 Script.Malware.BatchRunner.A@IOC
test.vbs b2f84d595e8abf3b7aa744c737cacc2cc34c9afd6e7167e55369161bc5372a9b Script.Malware.BatchRunner.A@IOC
Client-built2.exe 17c3d4c216b2cde74b143bfc2f0c73279f2a007f627e3a764036baf272b4971a Win64.Backdoor.StimBlaster.L6WGC3
Block1.exe59f80ca5386ed29eda3efb01a92fa31fb7b73168e84456ac06f88fdb4cd82e9eWin32.Trojan-Stealer.StealC.RSZPXF

Desmascarando a mentira: a história da “conta hackeada” é uma grande besteira

O encobrimento foi revelado

A Steam espalha mentiras e ajuda as vítimas, enquanto sua empresa verifica os desenvolvedores e concede o mais alto certificado de confiança ao conteúdo deles.

Vamos chamar a desculpa da Valve sobre o “desenvolvedor que sofreu um ataque hacker” pelo que ela realmente é: uma mentira patética e facilmente refutável. É um insulto à inteligência de seus usuários, uma narrativa criada para protegê-los das consequências de sua própria negligência. Toda essa fantasia desmorona no momento em que você analisa os próprios procedimentos obrigatórios do Steam.

O Engano Fundamental: Adulteração de uma cena de crime digital

É aqui que o encobrimento da Valve passa de uma simples negligência para o que só pode ser descrito como adulteração de uma cena de crime digital. Que fique bem claro: a Valve não removeu o jogo infectado.

As evidências forenses e as análises realizadas por pesquisadores de segurança que rastreavam a infraestrutura C2 confirmam isso de forma inequívoca: foram os próprios criminosos que excluiram suas versões maliciosas dos servidores do Steam. Eles fizeram isso em 21 de setembro, somente depois que seu grupo de controle no Telegram foi exposto publicamente. Eles executaram uma retirada do tipo “terra arrasada”, destruindo as evidências para apagar seus rastros.

Alteração de uma cena de crime digital — a mão da Steam/Valve ultrapassa a fita de “Não ultrapassar” enquanto o PhishDestroy investiga com uma lupa
Alteração de uma cena de crime digital — a mão da Steam/Valve ultrapassa a fita de “Não ultrapassar” enquanto o PhishDestroy investiga com uma lupa

A alegação da Valve de que tomou medidas é uma invenção descarada. Ao esperar que os invasores apagassem seus próprios rastros antes de intervir para remover a página da loja, a Valve permitiu, na prática, que as principais provas fossem destruídas. Isso não foi controle de danos; foi obstrução. Eles não estavam protegendo os usuários; estavam se protegendo, garantindo que a cena do crime ficasse limpa.

O custo humano da indiferença corporativa

A negligência da Valve teve consequências concretas, pelas quais a empresa não assumiu absolutamente nenhuma responsabilidade.

O motivo: o lucro acima das pessoas

Por que a Valve permitiria que isso acontecesse? O motivo é tão simples quanto cínico: era mais barato.

Uma verdadeira reformulação da segurança — que inclua a implementação de testes em ambiente isolado para todas as compilações, a separação das credenciais dos desenvolvedores, a contratação de uma equipe de segurança competente e a publicação de relatórios de transparência — custaria milhões. Pagar indenização às vítimas criaria um precedente oneroso.

A alternativa? Divulgar um comunicado vago e enganoso, deixar que o ciclo de notícias siga em frente e absorver o impacto mínimo nas relações públicas. Foi uma decisão comercial calculada, na qual a segurança dos usuários foi considerada uma perda aceitável.

Esse padrão de negligência não é novidade. Do PirateFi (2024) ao Chemia (2025), a Valve ignorou repetidamente os alertas e permitiu a entrada de malware em sua plataforma, agindo apenas após a comoção pública. O BlockBlasters não foi uma exceção; foi o resultado inevitável de uma cultura de segurança falha.

Veredicto final: Culpado das acusações

Que os fatos falem por si mesmos.

A Valve não apenas falhou. Ela mentiu. Encobriu sua própria negligência, protegeu seus lucros e deixou que seus usuários pagassem o preço. A confiança que a comunidade depositava no Steam foi irrevogavelmente quebrada. Isso não foi um erro; foi uma traição.

Leia a investigação completa no Medium

Este é um trecho de nossa investigação abrangente, dividida em várias partes. Leia o relatório completo, com evidências adicionais, cronologias e análises.

Leia no Medium →
Voltar às notícias
#Steam#Valve#CryptoDrainer#Malware#GamingSecurity

Investigações relacionadas

Mais de 150 extensões falsas da Mozilla: um único backend, uma única rede
INVESTIGAÇÃO
Mais de 150 extensões falsas da Mozilla: um único backend, uma única rede
$0 Takedowns: How We Disrupt Phishing Infrastructure
INVESTIGAÇÃO
$0 Takedowns: How We Disrupt Phishing Infrastructure
NameSilo, Webnic, NiceNIC: Registradores que facilitam golpes
INVESTIGAÇÃO
NameSilo, Webnic, NiceNIC: Registradores que facilitam golpes
Aviso de transparência. O PhishDestroy é um projeto independente e sem fins lucrativos. Nossa pesquisa pode refletir um viés inerente contra a infraestrutura de golpes e os serviços que a possibilitam. Incentivamos os leitores a avaliarem todo o material de forma crítica e independente. Leia nossa declaração de transparência completa →