Game trên Steam bị cài mã độc: Người chơi vô tình “test game” giúp hacker trộm dữ liệu

[WhiteHat Team]

Một chiến dịch phát tán mã độc tinh vi vừa bị phát hiện trên nền tảng phân phối game Steam, khi tựa game sinh tồn “Chemia” bị hacker chèn mã độc để đánh cắp thông tin cá nhân người dùng. Điều đáng lo ngại là người chơi gần như không phát hiện ra gì bất thường, vì mã độc không làm gián đoạn trải nghiệm chơi game.

​

Nhóm hacker có tên EncryptHub (còn được biết với bí danh Larva-208) được cho là thủ phạm đứng sau vụ việc. Nhóm này từng nổi tiếng với hàng loạt chiến dịch lừa đảo quy mô lớn và đặc biệt... Có tiền sử vừa khai thác lỗ hổng zero-day trong Windows, vừa gửi báo cáo bảo mật cho Microsoft, đúng chất “nửa thiện nửa ác”.

Theo công ty an ninh mạng Prodaft, vào ngày 22/7 EncryptHub đã chèn mã độc vào tệp cài đặt của Chemia trên Steam. Tựa game này đang được phát hành dưới dạng “early access” (truy cập sớm), chưa ra mắt chính thức và ít được kiểm duyệt chặt như các bản phát hành hoàn chỉnh.

Cụ thể:

• Mã độc đầu tiên là HijackLoader (CVKRUTNP.exe), được dùng để tạo “chân” trong máy nạn nhân, tải về mã độc chính.
• Mã độc thứ hai là Vidar infostealer (v9d9d.exe), chuyên đánh cắp dữ liệu như mật khẩu, cookie trình duyệt, ví tiền mã hóa.
• Sau đó, chỉ trong 3 giờ, nhóm tiếp tục cài Fickle Stealer thông qua một thư viện DLL (cclib.dll), điều khiển bằng PowerShell kết nối đến máy chủ từ trang soft-gets[.]com.

Cả hai loại mã độc đều hoạt động ngầm, không ảnh hưởng hiệu năng game, khiến người chơi không hề nghi ngờ.

Cơ chế hoạt động: Tinh vi và khó phát hiện​

• Vidar và Fickle Stealer đều là infostealer chuyên trộm thông tin từ trình duyệt như mật khẩu, form tự động, cookie, ví tiền mã hóa.
• Mã độc lấy lệnh từ kênh Telegram, cho thấy khả năng điều khiển linh hoạt theo thời gian thực.
• Do game được tải từ Steam chính chủ, người chơi hoàn toàn tin tưởng và không nghi ngờ, khiến đây là chiêu trò lợi dụng niềm tin vào nền tảng – không cần kỹ thuật lừa đảo tinh vi, chỉ cần… người chơi bấm "Install".

Các tựa game dạng Early Access như Chemia thường ít được kiểm duyệt kỹ lưỡng. Trong năm 2025, đã có ít nhất 3 vụ mã độc tương tự chui lọt lên Steam, bao gồm Sniper: Phantom’s Resolution và PirateFi. Điều này đặt ra câu hỏi về cơ chế kiểm soát nội dung của Steam, nhất là với các game đang trong giai đoạn phát triển.

Việc chèn mã độc cũng có thể liên quan đến rò rỉ nội bộ, hoặc tài khoản của nhà phát triển bị chiếm quyền.

Khuyến nghị từ các chuyên gia:​

• Người dùng hạn chế cài đặt game ít người chơi, chưa ra mắt chính thức, nhất là những game miễn phí được đề xuất chơi thử (Playtest). Cần cẩn trọng nếu máy xuất hiện dấu hiệu bất thường sau khi cài đặt.
• Steam và nhà phát hành: Cần nâng cao cơ chế kiểm duyệt đối với các tựa game Early Access, đặc biệt là kiểm tra tệp thực thi và thư viện đi kèm.
• Quản trị hệ thống, doanh nghiệp: Theo dõi các IOC (Indicators of Compromise) liên quan tới chiến dịch, cách ly và rà soát máy tính nếu có thành viên cài đặt Chemia hoặc nghi ngờ dính mã độc.

Chiến dịch phát tán mã độc qua game Chemia là lời nhắc nhở rằng không phải thứ miễn phí nào cũng an toàn, ngay cả khi được phân phối qua nền tảng uy tín như Steam. Khi hacker tận dụng được lòng tin và lỗ hổng kiểm duyệt, người dùng bình thường dễ trở thành nạn nhân mà không hay biết. Cho đến khi có thông báo chính thức từ Valve hoặc nhà phát triển, tốt nhất là không nên tải hoặc chơi Chemia trong thời gian này.

Theo Bleeping Computer​