Перейти до основного вмісту
Розслідування щодо «Steam Not Good Guy»

Прибуток понад гравців: приховування фактів щодо BlockBlasters (Скандали на Steam, частина 1)

Ми розпочинаємо багатосерійне розслідування, яке розкриє приховану правду про Steam, висвітлить корупцію, що стоїть за його діяльністю, системні зловживання, експлуатацію та недбалість, які завдали шкоди мільйонам користувачів, а також продемонструє, як глобальний монополіст перетворив ігрову платформу на механізм маніпуляцій та прихованого прибутку.

Розслідування щодо гри «BlockBlasters» на Steam — прибуток важливіший за гравців

Важливий висновок

Steam відверто бреше, прикриває злочинців і перешкоджає розслідуванню.

Вступ: Злочин, вчинений внаслідок навмисної недбалості

У серпні 2025 року найбільша у світі ігрова платформа Steam не просто зазнала порушення безпеки, а й сама сприяла його виникненню. Внаслідок низки системних збоїв та грубої недбалості компанія Valve дозволила грі BlockBlasters (AppID 3872350) перетворився на «троянського коня» для руйнівної кампанії з розповсюдження шкідливого програмного забезпечення. Це не була витончена атака, якої неможливо було уникнути. Це була класична операція з викрадення даних, яка увінчалася успіхом саме тому, що система безпеки Steam має фундаментальні недоліки. Протягом 22 днів зловмисники викрали сотні тисяч доларів, спустошили криптогаманці та зламали облікові записи користувачів, а компанія Valve не вжила жодних заходів.

Коли правда вийшла на світло, компанія Valve відреагувала не тим, щоб захистити своїх користувачів, а тим, щоб захистити свій імідж. Компанія опублікувала єдину, оманливу заяву, в якій звинуватила «зламаний обліковий запис розробника» — жалюгідну брехню, покликану перекласти провину та уникнути відповідальності. У цій статті ми розвінчаємо цю брехню. Використовуючи криміналістичні дані, аналіз хронології подій та власні правила Valve, ми доведемо, що цей інцидент був не просто бездіяльністю, а навмисним приховуванням злочинної недбалості.

Хронологія корпоративної недбалості: 1-й день — оприлюднення шкідливого програмного забезпечення; 3-й день — перші повідомлення; 3-й день — численні попередження; 10-й день — жодних заходів, при цьому 1 489 500 жертв опинилися під загрозою; 22-й день — нарешті шкідливе програмне забезпечення було видалено
Хронологія корпоративної недбалості: 1-й день — оприлюднення шкідливого програмного забезпечення; 3-й день — перші повідомлення; 3-й день — численні попередження; 10-й день — жодних заходів, при цьому 1 489 500 жертв опинилися під загрозою; 22-й день — нарешті шкідливе програмне забезпечення було видалено

Розкрита особистість

Steam відверто бреше та приховує Валентина Лопеса — перевіреного розробника, який стоїть за шкідливим додатком.

22-денна хронологія бездіяльності

У компанії Valve було 22 дні, щоб це зупинити. Повідомлення від користувачів надходили одне за одним, а дані платформи свідчили про явні ознаки проблем. Їхнє мовчання було свідомим рішенням.

31 липня 2025 року

Виходить гра BlockBlasters. Чиста, легальна версія проходить перевірку в системі Steam.

30 серпня 2025 року

Пастка розставлена. Зловмисники випускають патч-версію 19799326. Це оновлення, що містить шкідливий код, схвалено Steam і розповсюджується серед усіх гравців.

На початку вересня 2025 року

Перші жертви б'ють на сполох. Користувачі завалюють службу підтримки Steam зверненнями, в яких повідомляють про аномальне використання процесора, підозрілий мережевий трафік і найголовніше — викрадену криптовалюту. Ці звернення потрапляють у «чорну діру» — компанія Valve їх ігнорує.

6–12 вересня 2025 року

Ці дані є явним сигналом тривоги. Відкриті телеметричні дані SteamDB свідчать про те, що кількість гравців впала до однозначних цифр, проте гра й досі встановлена на сотнях комп’ютерів, де вона непомітно викрадає дані. Ця значна розбіжність є тривожним сигналом, який мала б виявити будь-яка належна система моніторингу.

21 вересня 2025 року

Спільнота вступає в дію. Незалежні дослідники у сфері безпеки викривають інфраструктуру управління та контролю шкідливого програмного забезпечення, що базується на Telegram, змушуючи хакерів піти на поступки.

22 вересня 2025 року

Докази є незаперечними. Компанія G DATA CyberDefense AG опублікувала повний криміналістичний звіт, який підтверджує багатоетапний вектор атаки шкідливого програмного забезпечення та розкриває технічні подробиці зломu.

Аналіз атаки

Це не було найсучаснішим шкідливим програмним забезпеченням. Це був примітивний, але ефективний «коктейль» із поширених скриптів та програм для викрадення даних, який платформі з оборотом у кілька мільярдів доларів мала б виявити без особливих зусиль.

Етап 1: Початкове проникнення (game2.bat)

Початковий корисний вантаж — простий пакетний скрипт — виконував базову розвідку: збирав IP-адреси, геодані та дані про користувачів Steam. Потім він завантажив ZIP-файл, захищений паролем (v1.zip) — класичний прийом для обходу примітивних автоматизованих сканерів.

Етап 2: Ухилення та ескалація (завантажувачі VBS)

За допомогою скриптів VBS шкідливе ПЗ запускало свої основні компоненти у прихованих вікнах командного рядка. Воно додало власний каталог до списку виключень Microsoft Defender — дія, яка мала б викликати негайне попередження з високим пріоритетом на будь-якій системі, що перебуває під моніторингом.

Етап 3: Викрадення даних (Client-built2.exe та Block1.exe)

Після вимкнення засобів захисту шкідливе ПЗ розгорнуло свої основні корисні навантаження: бекдор на базі Python для постійного доступу та варіант програми-викрадача даних StealC. Воно націлювалося на дані браузерів, токени сеансів і, що найважливіше, на криптовалютні гаманці в Chrome, Edge та Brave. Усі викрадені дані передавалися на два сервери управління через незахищений HTTP-трафік. Індикатори компрометації (IOC), пов’язані з викраденням криптовалюти, підтвердили, що Steam є каналом розповсюдження шкідливого програмного забезпечення для організованих операцій з крадіжки.

Зраджена довіра

Саме їхній авторитетний сертифікат та недбалість призвели до десятків крадіжок, які вони приховують. Це є класичним прикладом атаки на ланцюг постачання, що полягає у масовому зловживанні довірою до платформи.

Індикатори компрометації (IOC)

ФайлSHA256Класифікація
game2.bat aa1a1328e0d0042d071bca13ff9a13116d8f3cf77e6e9769293e2b144c9b73b3 BAT.Trojan-Stealer.StimBlaster.F
launch1.vbs c3404f768f436924e954e48d35c27a9d44c02b7a346096929a1b26a1693b20b3 Script.Malware.BatchRunner.A@IOC
test.vbs b2f84d595e8abf3b7aa744c737cacc2cc34c9afd6e7167e55369161bc5372a9b Script.Malware.BatchRunner.A@IOC
Client-built2.exe 17c3d4c216b2cde74b143bfc2f0c73279f2a007f627e3a764036baf272b4971a Win64.Backdoor.StimBlaster.L6WGC3
Block1.exe59f80ca5386ed29eda3efb01a92fa31fb7b73168e84456ac06f88fdb4cd82e9eWin32.Trojan-Stealer.StealC.RSZPXF

Розвінчання міфу: «зламаний акаунт» — це повна нісенітниця

Розкрито факт приховування

Steam поширює неправдиву інформацію та допомагає жертвам, тоді як їхня компанія перевіряє розробників і надає їхньому контенту найвищий сертифікат довіри.

Давайте назвемо виправдання Valve про «зламаного розробника» тим, чим воно є насправді: жалюгідна і легко спростовувана брехня. Це образа інтелекту їхніх користувачів — це версія подій, вигадана для того, щоб захистити їх від наслідків власної недбалості. Уся ця вигадка розсипається, щойно ви ознайомитеся з обов’язковими процедурами самого Steam.

Головна хибність: фальсифікація цифрового місця злочину

Саме тут приховування фактів з боку Valve переходить від простої недбалості до того, що можна охарактеризувати лише як втручання у цифрове місце злочину. Скажемо це чітко і недвозначно: компанія Valve не видалила заражену гру.

Криміналістичні докази та аналіз, отримані дослідниками у сфері безпеки, які відстежували інфраструктуру C2, однозначно підтверджують: самі злочинці видалили свої шкідливі збірки з серверів Steam. Вони зробили це 21 вересня, лише після того, як їхня група управління в Telegram була публічно викрита. Вони здійснили відхід за принципом «випаленої землі», знищивши докази, щоб приховати сліди.

Втручання у цифрове місце злочину — рука представника Steam/Valve простягається крізь стрічку «Не перетинати», поки PhishDestroy проводить розслідування за допомогою лупи
Втручання у цифрове місце злочину — рука представника Steam/Valve простягається крізь стрічку «Не перетинати», поки PhishDestroy проводить розслідування за допомогою лупи

Заява Valve про вжиття заходів є відвертою вигадкою. Зачекавши, поки зловмисники стерли власні сліди, перш ніж втрутитися й видалити сторінку в магазині, Valve фактично дозволила знищити основні докази. Це не було мінімізацією збитків — це було перешкоджання розслідуванню. Вони не захищали користувачів; вони захищали себе, забезпечивши «чистоту» місця злочину.

Людська ціна байдужості корпорацій

Недбалість компанії Valve мала реальні наслідки, за які вона не взяла на себе жодної відповідальності.

Мотив: прибуток понад людей

Чому ж компанія Valve дозволила, щоб це сталося? Мотив настільки ж простий, наскільки й цинічний: це було дешевше.

Справжня реформа системи безпеки — впровадження тестування у пісочниці для всіх збірок, розділення облікових даних розробників, найм компетентної команди з безпеки та оприлюднення звітів про прозорість — обійшлася б у мільйони. Виплата компенсації потерпілим створила б дороговартісний прецедент.

А яка альтернатива? Опублікувати розпливчасту, оманливу заяву, дозволити новинам відійти на другий план і звести до мінімуму негативний резонанс у ЗМІ. Це було обдумане бізнес-рішення, в якому безпека користувачів була визнана прийнятною втратою.

Така тенденція до недбалості не є новою. Від PirateFi (2024) до Chemia (2025) компанія Valve неодноразово ігнорувала попередження та допускала шкідливе програмне забезпечення на свою платформу, вживаючи заходів лише після громадського резонансу. Випадок із BlockBlasters не був винятком; це був неминучий наслідок гнилої культури безпеки.

Остаточний вердикт: визнано винним за висунутими звинуваченнями

Нехай факти говорять самі за себе.

Valve не просто допустила провал. Вона збрехала. Вона приховала власну недбалість, захистила свої прибутки, а платити за це змусили своїх користувачів. Довіра, яку спільнота покладала на Steam, була безповоротно зруйнована. Це була не помилка, а зрада.

Прочитайте повний звіт про розслідування на Medium

Це уривок із нашого всебічного багаточастинного розслідування. Ознайомтеся з повним звітом, що містить додаткові докази, хронологію подій та аналіз.

Читати на Medium →
Назад до новин
#Steam#Valve#CryptoDrainer#Malware#GamingSecurity

Пов’язані розслідування

Понад 150 підроблених розширень Mozilla: один серверний модуль, одна мережа
РОЗСЛІДУВАННЯ
Понад 150 підроблених розширень Mozilla: один серверний модуль, одна мережа
$0 Takedowns: How We Disrupt Phishing Infrastructure
РОЗСЛІДУВАННЯ
$0 Takedowns: How We Disrupt Phishing Infrastructure
NameSilo, Webnic, NiceNIC: реєстратори, які сприяють шахрайству
РОЗСЛІДУВАННЯ
NameSilo, Webnic, NiceNIC: реєстратори, які сприяють шахрайству
Повідомлення про прозорість. PhishDestroy — це некомерційний, незалежний проєкт. Наші дослідження можуть містити певну упередженість щодо інфраструктури шахрайства та сервісів, що її підтримують. Ми закликаємо читачів критично та незалежно оцінювати всі матеріали. Ознайомтеся з повною версією нашої заяви про прозорість →