Chuyển thẳng đến nội dung chính
Cuộc điều tra về việc Steam không phải là “người tốt”

Lợi nhuận hơn người chơi: Vụ che giấu sự thật về BlockBlasters (Những vụ bê bối trên Steam, Phần 1)

Chúng tôi đang khởi động một loạt bài điều tra nhằm vạch trần sự thật ẩn giấu về Steam, tiết lộ những hành vi tham nhũng đằng sau hoạt động của nền tảng này, những vi phạm có hệ thống, sự bóc lột và sự tắc trách đã gây tổn hại cho hàng triệu người dùng, đồng thời phơi bày cách một thế lực độc quyền toàn cầu đã biến một nền tảng trò chơi thành một cỗ máy thao túng và thu lợi thầm lặng.

Cuộc điều tra về Steam BlockBlasters - Lợi nhuận được đặt lên trên người chơi

Kết luận quan trọng

Steam ngang nhiên nói dối, bao che cho bọn tội phạm và cản trở cuộc điều tra.

Giới thiệu: Một tội ác do sự cẩu thả có chủ ý

Vào tháng 8 năm 2025, Steam – nền tảng trò chơi lớn nhất thế giới – không chỉ phải hứng chịu một vụ vi phạm an ninh mà còn chủ động tạo điều kiện cho vụ việc đó xảy ra. Thông qua một chuỗi các sự cố hệ thống và sự cẩu thả nghiêm trọng, Valve đã để cho trò chơi BlockBlasters (AppID 3872350) đã trở thành một con ngựa thành Troia cho một chiến dịch phần mềm độc hại gây hậu quả nghiêm trọng. Đây không phải là một cuộc tấn công tinh vi và không thể ngăn chặn. Đó là một chiến dịch đánh cắp dữ liệu theo kiểu “sách giáo khoa”, thành công chỉ vì hệ thống bảo mật của Steam vốn đã có lỗ hổng cơ bản. Trong 22 ngày, nó đã đánh cắp hàng trăm nghìn đô la, làm cạn kiệt các ví tiền điện tử và xâm phạm các tài khoản người dùng trong khi Valve không có bất kỳ hành động nào.

Khi sự thật được phơi bày, phản ứng của Valve không phải là bảo vệ người dùng, mà là bảo vệ hình ảnh của mình. Công ty này đã đưa ra một tuyên bố duy nhất, đầy dối trá, đổ lỗi cho một “tài khoản nhà phát triển bị xâm nhập” — một lời nói dối thảm hại nhằm đổ lỗi cho người khác và trốn tránh trách nhiệm pháp lý. Bài viết này sẽ vạch trần lời nói dối đó. Dựa trên dữ liệu pháp y, phân tích dòng thời gian và chính các chính sách của Valve, chúng tôi sẽ chứng minh rằng vụ việc này không chỉ là sự thiếu hành động, mà còn là một hành vi che giấu có chủ ý nhằm che đậy sự cẩu thả mang tính hình sự.

Dòng thời gian về sự cẩu thả của doanh nghiệp: Ngày 1 – phần mềm độc hại được phát tán, Ngày 3 – các báo cáo đầu tiên, Ngày 3 – nhiều cảnh báo, Ngày 10 – không có bất kỳ hành động nào trong khi 1.489.500 nạn nhân bị lộ thông tin, Ngày 22 – cuối cùng phần mềm độc hại mới bị gỡ bỏ
Dòng thời gian về sự cẩu thả của doanh nghiệp: Ngày 1 – phần mềm độc hại được phát tán, Ngày 3 – các báo cáo đầu tiên, Ngày 3 – nhiều cảnh báo, Ngày 10 – không có bất kỳ hành động nào trong khi 1.489.500 nạn nhân bị lộ thông tin, Ngày 22 – cuối cùng phần mềm độc hại mới bị gỡ bỏ

Danh tính bị lộ

Steam đã ngang nhiên nói dối và che giấu Valentin Lopes — nhà phát triển đã được xác minh đứng sau ứng dụng độc hại này.

Lịch trình 22 ngày của sự bất động

Valve có 22 ngày để ngăn chặn chuyện này. Các báo cáo từ người dùng liên tục đổ về, và dữ liệu từ nền tảng cho thấy những dấu hiệu rõ ràng về vấn đề. Sự im lặng của họ là một sự lựa chọn.

Ngày 31 tháng 7 năm 2025

BlockBlasters chính thức ra mắt. Một bản dựng sạch sẽ và hợp lệ đã được quy trình kiểm duyệt của Steam phê duyệt.

Ngày 30 tháng 8 năm 2025

Cái bẫy đã được giăng sẵn. Những kẻ tấn công tung ra bản vá Patch Build 19799326. Bản cập nhật này, chứa mã độc, đã được Steam phê duyệt và phân phối đến tất cả người chơi.

Đầu tháng 9 năm 2025

Những nạn nhân đầu tiên đã gióng lên hồi chuông cảnh báo. Người dùng ồ ạt gửi các phiếu yêu cầu hỗ trợ đến bộ phận Hỗ trợ Steam để báo cáo tình trạng sử dụng CPU bất thường, lưu lượng mạng đáng ngờ và —điều nghiêm trọng nhất— tiền điện tử bị đánh cắp. Những phiếu yêu cầu này rơi vào “hố đen”, bị Valve phớt lờ.

Ngày 6 tháng 9 năm 12, 2025

Dữ liệu đang phát đi một lời cảnh báo rõ ràng. Dữ liệu theo dõi công khai từ SteamDB cho thấy số lượng người chơi đã sụt giảm xuống chỉ còn một con số, song trò chơi vẫn được cài đặt trên hàng trăm máy tính và âm thầm rò rỉ dữ liệu. Sự chênh lệch lớn này là một tín hiệu cảnh báo mà bất kỳ hệ thống giám sát nào hoạt động hiệu quả đều phải phát hiện ra.

Ngày 21 tháng 9 năm 2025

Cộng đồng đã vào cuộc. Các nhà nghiên cứu bảo mật độc lập đã vạch trần cơ sở hạ tầng chỉ huy và điều khiển dựa trên Telegram của phần mềm độc hại này, buộc bọn hacker phải lộ diện.

Ngày 22 tháng 9 năm 2025

Bằng chứng là không thể chối cãi. G DATA CyberDefense AG đã công bố một báo cáo pháp y đầy đủ, xác nhận phương thức tấn công nhiều giai đoạn của phần mềm độc hại và tiết lộ các chi tiết kỹ thuật liên quan đến vụ vi phạm.

Cấu trúc của cuộc tấn công

Đây không phải là phần mềm độc hại tiên tiến. Đó là một hỗn hợp thô sơ nhưng hiệu quả gồm các tập lệnh thông thường và các công cụ đánh cắp dữ liệu, vốn lẽ ra phải là chuyện nhỏ đối với một nền tảng trị giá hàng tỷ đô la để phát hiện.

Giai đoạn 1: Xâm nhập ban đầu (game2.bat)

Tải trọng ban đầu, một tập lệnh batch đơn giản, đã thực hiện các hoạt động trinh sát cơ bản: thu thập địa chỉ IP, vị trí địa lý và thông tin người dùng Steam. Sau đó, nó đã tải xuống một tệp ZIP được bảo vệ bằng mật khẩu (v1.zip) — một kỹ thuật cổ điển nhằm vượt qua các công cụ quét tự động thiếu tinh vi.

Giai đoạn 2: Tránh phát hiện và leo thang (Trình tải VBS)

Bằng cách sử dụng các tập lệnh VBS, phần mềm độc hại đã thực thi các thành phần cốt lõi của mình trong các cửa sổ lệnh ẩn. Nó đã thêm thư mục của chính nó vào danh sách loại trừ của Microsoft Defender, một hành động lẽ ra phải kích hoạt cảnh báo ngay lập tức với mức độ ưu tiên cao trên bất kỳ hệ thống nào đang được giám sát.

Giai đoạn 3: Đánh cắp dữ liệu (Client-built2.exe & Block1.exe)

Khi các hệ thống phòng thủ bị vô hiệu hóa, phần mềm độc hại đã triển khai các tải trọng chính của mình: một cửa hậu dựa trên Python để truy cập liên tục và một biến thể của công cụ đánh cắp thông tin StealC. Nó nhắm mục tiêu vào dữ liệu trình duyệt, mã thông báo phiên và, quan trọng nhất, các ví tiền điện tử trên Chrome, Edge và Brave. Tất cả dữ liệu bị đánh cắp đều được chuyển đến hai máy chủ điều khiển và chỉ huy qua lưu lượng HTTP không được bảo mật. Các chỉ số IOC liên quan đến phần mềm đánh cắp tiền điện tử đã xác nhận Steam là một kênh phân phối phần mềm độc hại cho các hoạt động trộm cắp có tổ chức.

Niềm tin bị phản bội

Chính sự tin tưởng vào chứng chỉ của họ cùng với thái độ coi thường đã dẫn đến hàng chục vụ trộm cắp mà họ cố tình che giấu. Điều này là một ví dụ điển hình về cuộc tấn công chuỗi cung ứng, khai thác sự tin tưởng vào nền tảng trên quy mô lớn.

Các chỉ số cho thấy hệ thống bị xâm nhập (IOC)

TệpSHA256Phân loại
game2.bat aa1a1328e0d0042d071bca13ff9a13116d8f3cf77e6e9769293e2b144c9b73b3 BAT.Trojan-Stealer.StimBlaster.F
launch1.vbs c3404f768f436924e954e48d35c27a9d44c02b7a346096929a1b26a1693b20b3 Script.Malware.BatchRunner.A@IOC
test.vbs b2f84d595e8abf3b7aa744c737cacc2cc34c9afd6e7167e55369161bc5372a9b Script.Malware.BatchRunner.A@IOC
Client-built2.exe 17c3d4c216b2cde74b143bfc2f0c73279f2a007f627e3a764036baf272b4971a Win64.Backdoor.StimBlaster.L6WGC3
Block1.exe59f80ca5386ed29eda3efb01a92fa31fb7b73168e84456ac06f88fdb4cd82e9eWin32.Trojan-Stealer.StealC.RSZPXF

Vạch trần sự dối trá: Câu chuyện về “tài khoản bị hack” hoàn toàn là bịa đặt

Vụ che giấu bị phanh phui

Steam che giấu sự thật và hỗ trợ các nạn nhân, trong khi công ty của họ kiểm tra các nhà phát triển và cấp chứng nhận tin cậy cao nhất cho nội dung của họ.

Hãy gọi cái cớ “nhà phát triển bị hack” của Valve đúng với bản chất của nó: một lời nói dối thảm hại và dễ dàng bị vạch trần. Đó là một sự xúc phạm đối với trí tuệ của cộng đồng người dùng, một câu chuyện được dựng lên nhằm che đậy những hậu quả do chính sự cẩu thả của họ gây ra. Toàn bộ câu chuyện viển vông này sẽ sụp đổ ngay khi bạn xem xét các quy trình bắt buộc của chính Steam.

Sự lừa dối cốt lõi: Can thiệp vào hiện trường vụ án kỹ thuật số

Đây chính là lúc hành vi che giấu sự thật của Valve đã vượt ra khỏi phạm vi sơ suất đơn thuần để trở thành điều mà chỉ có thể được mô tả là can thiệp vào hiện trường vụ án kỹ thuật số. Hãy khẳng định điều này một cách rõ ràng: Valve không gỡ bỏ tựa game bị nhiễm virus.

Các bằng chứng pháp y và phân tích từ các nhà nghiên cứu bảo mật theo dõi cơ sở hạ tầng C2 đã xác nhận điều này một cách dứt khoát: chính bọn tội phạm đã xóa các bản dựng phần mềm độc hại của chúng khỏi máy chủ của Steam. Chúng thực hiện hành động này vào ngày 21 tháng 9, chỉ sau khi nhóm điều khiển Telegram của chúng bị phơi bày trước công chúng. Chúng đã thực hiện một chiến thuật “đốt sạch” khi rút lui, tiêu hủy bằng chứng để che giấu dấu vết.

Can thiệp vào hiện trường vụ án kỹ thuật số — Bàn tay của Steam/Valve vươn qua dải băng cảnh báo “Không được vượt qua” trong khi PhishDestroy đang điều tra bằng kính lúp
Can thiệp vào hiện trường vụ án kỹ thuật số — Bàn tay của Steam/Valve vươn qua dải băng cảnh báo “Không được vượt qua” trong khi PhishDestroy đang điều tra bằng kính lúp

Lời khẳng định của Valve về việc đã có hành động can thiệp là một sự bịa đặt trắng trợn. Bằng cách chờ đợi cho đến khi những kẻ tấn công xóa sạch dấu vết của chính chúng trước khi can thiệp để gỡ bỏ trang sản phẩm trên cửa hàng, Valve thực chất đã để cho bằng chứng chính bị tiêu hủy. Đây không phải là biện pháp khắc phục hậu quả; đây là hành vi cản trở công lý. Họ không phải đang bảo vệ người dùng; họ đang tự bảo vệ mình bằng cách đảm bảo hiện trường vụ án được dọn dẹp sạch sẽ.

Giá phải trả về mặt con người do sự thờ ơ của các tập đoàn

Sự cẩu thả của Valve đã gây ra những hậu quả thực tế, nhưng công ty này lại hoàn toàn không chịu bất kỳ trách nhiệm nào về điều đó.

Động cơ: Lợi nhuận đặt lên trên con người

Tại sao Valve lại để chuyện này xảy ra? Động cơ đằng sau việc này vừa đơn giản vừa đầy tính thực dụng: Nó rẻ hơn.

Một cuộc cải tổ an ninh thực sự — bao gồm việc triển khai thử nghiệm trong môi trường cách ly cho tất cả các bản dựng, tách biệt thông tin đăng nhập của các nhà phát triển, tuyển dụng một đội ngũ an ninh có năng lực và công bố các báo cáo minh bạch — sẽ tiêu tốn hàng triệu. Việc bồi thường cho các nạn nhân sẽ tạo ra một tiền lệ tốn kém.

Giải pháp thay thế là gì? Đưa ra một tuyên bố mơ hồ, dễ gây hiểu lầm, để dư luận dần quên đi, và chấp nhận mức tổn thất về mặt quan hệ công chúng ở mức tối thiểu. Đó là một quyết định kinh doanh được tính toán kỹ lưỡng, trong đó an toàn của người dùng được coi là một tổn thất có thể chấp nhận được.

Mô hình sơ suất này không phải là điều mới mẻ. Từ vụ PirateFi (2024) đến vụ Chemia (2025), Valve đã nhiều lần phớt lờ các cảnh báo và để phần mềm độc hại xâm nhập vào nền tảng của mình, chỉ hành động sau khi dư luận dậy sóng. Vụ BlockBlasters không phải là một trường hợp ngoại lệ; đó là kết quả tất yếu của một nền văn hóa bảo mật thối nát.

Phán quyết cuối cùng: Có tội như cáo trạng

Hãy để sự thật tự nói lên tất cả.

Valve không chỉ đơn thuần là thất bại. Họ đã nói dối. Họ đã che giấu sự cẩu thả của chính mình, bảo vệ lợi nhuận của mình và để người dùng phải gánh chịu hậu quả. Niềm tin mà cộng đồng dành cho Steam đã bị phá vỡ một cách không thể hàn gắn. Đây không phải là một sai lầm; đây là một sự phản bội.

Đọc toàn văn bài điều tra trên Medium

Đây là một đoạn trích từ cuộc điều tra toàn diện gồm nhiều phần của chúng tôi. Hãy đọc báo cáo đầy đủ kèm theo các bằng chứng bổ sung, dòng thời gian và phân tích.

Đọc trên Medium →
Quay lại trang Tin tức
#Steam#Valve#CryptoDrainer#Malware#GamingSecurity

Các cuộc điều tra liên quan

Hơn 150 tiện ích mở rộng Mozilla giả mạo: Một nền tảng phía sau, một mạng lưới
ĐIỀU TRA
Hơn 150 tiện ích mở rộng Mozilla giả mạo: Một nền tảng phía sau, một mạng lưới
$0 Takedowns: How We Disrupt Phishing Infrastructure
ĐIỀU TRA
$0 Takedowns: How We Disrupt Phishing Infrastructure
NameSilo, Webnic, NiceNIC: Các nhà đăng ký tên miền tạo điều kiện cho các vụ lừa đảo
ĐIỀU TRA
NameSilo, Webnic, NiceNIC: Các nhà đăng ký tên miền tạo điều kiện cho các vụ lừa đảo
Thông báo về tính minh bạch. PhishDestroy là một dự án độc lập, phi thương mại. Các nghiên cứu của chúng tôi có thể phản ánh sự thiên vị vốn có đối với cơ sở hạ tầng lừa đảo và các dịch vụ hỗ trợ cho hoạt động này. Chúng tôi khuyến khích độc giả đánh giá tất cả các tài liệu một cách khách quan và độc lập. Xem toàn văn tuyên bố về tính minh bạch của chúng tôi →