Важливий висновок
Steam відверто бреше, прикриває злочинців і перешкоджає розслідуванню.
Вступ: Злочин, вчинений внаслідок навмисної недбалості
У серпні 2025 року найбільша у світі ігрова платформа Steam не просто зазнала порушення безпеки, а й сама сприяла його виникненню. Внаслідок низки системних збоїв та грубої недбалості компанія Valve дозволила грі BlockBlasters (AppID 3872350) перетворився на «троянського коня» для руйнівної кампанії з розповсюдження шкідливого програмного забезпечення. Це не була витончена атака, якої неможливо було уникнути. Це була класична операція з викрадення даних, яка увінчалася успіхом саме тому, що система безпеки Steam має фундаментальні недоліки. Протягом 22 днів зловмисники викрали сотні тисяч доларів, спустошили криптогаманці та зламали облікові записи користувачів, а компанія Valve не вжила жодних заходів.
Коли правда вийшла на світло, компанія Valve відреагувала не тим, щоб захистити своїх користувачів, а тим, щоб захистити свій імідж. Компанія опублікувала єдину, оманливу заяву, в якій звинуватила «зламаний обліковий запис розробника» — жалюгідну брехню, покликану перекласти провину та уникнути відповідальності. У цій статті ми розвінчаємо цю брехню. Використовуючи криміналістичні дані, аналіз хронології подій та власні правила Valve, ми доведемо, що цей інцидент був не просто бездіяльністю, а навмисним приховуванням злочинної недбалості.

Розкрита особистість
Steam відверто бреше та приховує Валентина Лопеса — перевіреного розробника, який стоїть за шкідливим додатком.
22-денна хронологія бездіяльності
У компанії Valve було 22 дні, щоб це зупинити. Повідомлення від користувачів надходили одне за одним, а дані платформи свідчили про явні ознаки проблем. Їхнє мовчання було свідомим рішенням.
Виходить гра BlockBlasters. Чиста, легальна версія проходить перевірку в системі Steam.
Пастка розставлена. Зловмисники випускають патч-версію 19799326. Це оновлення, що містить шкідливий код, схвалено Steam і розповсюджується серед усіх гравців.
Перші жертви б'ють на сполох. Користувачі завалюють службу підтримки Steam зверненнями, в яких повідомляють про аномальне використання процесора, підозрілий мережевий трафік і найголовніше — викрадену криптовалюту. Ці звернення потрапляють у «чорну діру» — компанія Valve їх ігнорує.
Ці дані є явним сигналом тривоги. Відкриті телеметричні дані SteamDB свідчать про те, що кількість гравців впала до однозначних цифр, проте гра й досі встановлена на сотнях комп’ютерів, де вона непомітно викрадає дані. Ця значна розбіжність є тривожним сигналом, який мала б виявити будь-яка належна система моніторингу.
Спільнота вступає в дію. Незалежні дослідники у сфері безпеки викривають інфраструктуру управління та контролю шкідливого програмного забезпечення, що базується на Telegram, змушуючи хакерів піти на поступки.
Докази є незаперечними. Компанія G DATA CyberDefense AG опублікувала повний криміналістичний звіт, який підтверджує багатоетапний вектор атаки шкідливого програмного забезпечення та розкриває технічні подробиці зломu.
Аналіз атаки
Це не було найсучаснішим шкідливим програмним забезпеченням. Це був примітивний, але ефективний «коктейль» із поширених скриптів та програм для викрадення даних, який платформі з оборотом у кілька мільярдів доларів мала б виявити без особливих зусиль.
Етап 1: Початкове проникнення (game2.bat)
Початковий корисний вантаж — простий пакетний скрипт — виконував базову розвідку: збирав IP-адреси, геодані та дані про користувачів Steam. Потім він завантажив ZIP-файл, захищений паролем (v1.zip) — класичний прийом для обходу примітивних автоматизованих сканерів.
Етап 2: Ухилення та ескалація (завантажувачі VBS)
За допомогою скриптів VBS шкідливе ПЗ запускало свої основні компоненти у прихованих вікнах командного рядка. Воно додало власний каталог до списку виключень Microsoft Defender — дія, яка мала б викликати негайне попередження з високим пріоритетом на будь-якій системі, що перебуває під моніторингом.
Етап 3: Викрадення даних (Client-built2.exe та Block1.exe)
Після вимкнення засобів захисту шкідливе ПЗ розгорнуло свої основні корисні навантаження: бекдор на базі Python для постійного доступу та варіант програми-викрадача даних StealC. Воно націлювалося на дані браузерів, токени сеансів і, що найважливіше, на криптовалютні гаманці в Chrome, Edge та Brave. Усі викрадені дані передавалися на два сервери управління через незахищений HTTP-трафік. Індикатори компрометації (IOC), пов’язані з викраденням криптовалюти, підтвердили, що Steam є каналом розповсюдження шкідливого програмного забезпечення для організованих операцій з крадіжки.
Зраджена довіра
Саме їхній авторитетний сертифікат та недбалість призвели до десятків крадіжок, які вони приховують. Це є класичним прикладом атаки на ланцюг постачання, що полягає у масовому зловживанні довірою до платформи.
Індикатори компрометації (IOC)
| Файл | SHA256 | Класифікація |
|---|---|---|
game2.bat | aa1a1328e0d0042d071bca13ff9a13116d8f3cf77e6e9769293e2b144c9b73b3
|
BAT.Trojan-Stealer.StimBlaster.F |
launch1.vbs | c3404f768f436924e954e48d35c27a9d44c02b7a346096929a1b26a1693b20b3
|
Script.Malware.BatchRunner.A@IOC |
test.vbs | b2f84d595e8abf3b7aa744c737cacc2cc34c9afd6e7167e55369161bc5372a9b
|
Script.Malware.BatchRunner.A@IOC |
Client-built2.exe | 17c3d4c216b2cde74b143bfc2f0c73279f2a007f627e3a764036baf272b4971a
|
Win64.Backdoor.StimBlaster.L6WGC3 |
Block1.exe | 59f80ca5386ed29eda3efb01a92fa31fb7b73168e84456ac06f88fdb4cd82e9e | Win32.Trojan-Stealer.StealC.RSZPXF |
Розвінчання міфу: «зламаний акаунт» — це повна нісенітниця
Розкрито факт приховування
Steam поширює неправдиву інформацію та допомагає жертвам, тоді як їхня компанія перевіряє розробників і надає їхньому контенту найвищий сертифікат довіри.
Давайте назвемо виправдання Valve про «зламаного розробника» тим, чим воно є насправді: жалюгідна і легко спростовувана брехня. Це образа інтелекту їхніх користувачів — це версія подій, вигадана для того, щоб захистити їх від наслідків власної недбалості. Уся ця вигадка розсипається, щойно ви ознайомитеся з обов’язковими процедурами самого Steam.
- «Стіна за 100 доларів» та перевірка особи: Щоб опублікувати гру на Steam, кожен розробник повинен пройти процедуру в рамках програми Steam Direct. Це передбачає сплату внеску в розмірі 100 доларів та проходження процедури «Знай свого клієнта» (KYC), під час якої необхідно надати офіційні імена, банківські реквізити та податкові документи. Злочинець не був анонімним привидом; у Valve були в базі дані про його підтверджену особу та фінансові реквізити. Це робить їхню бездіяльність свідомим вибором на користь захисту перевіреного партнера замість власних користувачів.
- Міф про 22-денне відключення електроенергії: Steamworks надає розробникам надійні інструменти для захисту своїх облікових записів. Легітимний розробник, який втратив контроль, може подати заявку «Втрата доступу до облікових даних видавця». Ця процедура розроблена так, щоб діяти швидко: права на публікацію та збірки блокуються протягом годин, а не тижнів. Думка про те, що розробника можуть заблокувати на понад 20 днів, поки його гра поширює шкідливе програмне забезпечення, є абсурдною. Це передбачає один із двох сценаріїв, обидва з яких звинувачують Valve: або розробник був співучасником, або Valve проігнорувала його відчайдушні звернення до служби підтримки, а також десятки скарг користувачів.
- Систематичне ігнорування скарг користувачів: Десятки користувачів подали детальні звіти про фінансові крадіжки, діяльність шкідливого програмного забезпечення та злом облікових записів. Це були не просто розпливчасті скарги, а інформація, на основі якої можна було вжити заходів. Компетентна служба підтримки мала б звернути на це увагу, передати справу на розгляд вищого керівництва та заблокувати сторінку додатка на час розслідування протягом 24 годин. Те, що Valve не зробила цього протягом 22 днів, — це не недогляд, а політика навмисного ігнорування.
Головна хибність: фальсифікація цифрового місця злочину
Саме тут приховування фактів з боку Valve переходить від простої недбалості до того, що можна охарактеризувати лише як втручання у цифрове місце злочину. Скажемо це чітко і недвозначно: компанія Valve не видалила заражену гру.
Криміналістичні докази та аналіз, отримані дослідниками у сфері безпеки, які відстежували інфраструктуру C2, однозначно підтверджують: самі злочинці видалили свої шкідливі збірки з серверів Steam. Вони зробили це 21 вересня, лише після того, як їхня група управління в Telegram була публічно викрита. Вони здійснили відхід за принципом «випаленої землі», знищивши докази, щоб приховати сліди.

Заява Valve про вжиття заходів є відвертою вигадкою. Зачекавши, поки зловмисники стерли власні сліди, перш ніж втрутитися й видалити сторінку в магазині, Valve фактично дозволила знищити основні докази. Це не було мінімізацією збитків — це було перешкоджання розслідуванню. Вони не захищали користувачів; вони захищали себе, забезпечивши «чистоту» місця злочину.
Людська ціна байдужості корпорацій
Недбалість компанії Valve мала реальні наслідки, за які вона не взяла на себе жодної відповідальності.
- Фінансовий крах: Було викрадено понад 150 000 доларів США (сума, схоже, перевищує 1 000 000 доларів США). Для багатьох це були кошти, здатні кардинально змінити життя. Один стрімер втратив 32 000 доларів під час прямої благодійної трансляції, присвяченої лікуванню раку.
- Зрада довіри: У сотень користувачів були зламані облікові записи, викрадені дані та заражені системи.
- Абсолютна тиша: До цього дня компанія Valve не запропонувала ні повернення коштів, ні компенсації, ні щирих вибачень. Їхня стандартна відповідь стала образою для кожної жертви.
Мотив: прибуток понад людей
Чому ж компанія Valve дозволила, щоб це сталося? Мотив настільки ж простий, наскільки й цинічний: це було дешевше.
Справжня реформа системи безпеки — впровадження тестування у пісочниці для всіх збірок, розділення облікових даних розробників, найм компетентної команди з безпеки та оприлюднення звітів про прозорість — обійшлася б у мільйони. Виплата компенсації потерпілим створила б дороговартісний прецедент.
А яка альтернатива? Опублікувати розпливчасту, оманливу заяву, дозволити новинам відійти на другий план і звести до мінімуму негативний резонанс у ЗМІ. Це було обдумане бізнес-рішення, в якому безпека користувачів була визнана прийнятною втратою.
Така тенденція до недбалості не є новою. Від PirateFi (2024) до Chemia (2025) компанія Valve неодноразово ігнорувала попередження та допускала шкідливе програмне забезпечення на свою платформу, вживаючи заходів лише після громадського резонансу. Випадок із BlockBlasters не був винятком; це був неминучий наслідок гнилої культури безпеки.
Остаточний вердикт: визнано винним за висунутими звинуваченнями
Нехай факти говорять самі за себе.
- Факт: Автоматизовані системи компанії Valve схвалили версію, що містила незначне шкідливе програмне забезпечення.
- Факт: Служба підтримки компанії Valve протягом трьох тижнів ігнорувала прямі попередження від постраждалих.
- Факт: Компанія Valve вжила заходів лише після того, як самі хакери видалили шкідливі файли.
- Факт: Офіційна заява компанії Valve була навмисним перекручуванням подій, спрямованим на уникнення відповідальності.
Valve не просто допустила провал. Вона збрехала. Вона приховала власну недбалість, захистила свої прибутки, а платити за це змусили своїх користувачів. Довіра, яку спільнота покладала на Steam, була безповоротно зруйнована. Це була не помилка, а зрада.




