В Steam разработчик фанатского мода Downfall для карточной roguelike‑игры Slay the Spire заявил, что мод был подвержен хакерской атаке. Вместо обновления мода к пользователям попадало вредоносное программное обеспечение (ВПО) Epsilon. Киберпреступники взломали Steam и Discord одного из разработчиков Downfall и получили доступ к Steam‑аккаунту мода.
Стилер Epsilon — это вредонос для кражи данных, продаваемый через Telegram и Discord. ВПО используется для атак на геймеров через Discord. С помощью фишинга или социальной инженерии пользователя убеждают установить вредонос Epsilon, как тестовую версию новой игры. ВПО начинает работать в фоновом режиме и похищает пароли пользователей, данные банковских карт и аутентификационные cookie. Оно ищет различные данные, включая локальные данные Windows и Telegram. Также вредонос может собирать документы, если в именах содержится слово «password».
Создатель Downfall рассказал, что взломанный пакет представлял собой перепакованную и модифицированную standalone‑версию оригинальной игры, а не его мод, устанавливаемый через Steam Workshop. По словам разработчика, взлом произошёл примерно днём 25 декабря 2023 года. После установки на скомпрометированный компьютер ВПО начинает собрать cookie, информацию из Steam и Discord, крадёт сохранённые пароли и данные банковских карт из разных браузеров (Google Chrome, Microsoft Edge, Mozilla Firefox, Brave, Vivaldi, даже «Яндекс Браузера» и многих других).
В Steam пользователи, получившие вредонос, рассказали, что ВПО маскируется или под приложение Windows Boot Manager, находящееся в папке AppData, или как UnityLibManager, установленное в подпапку Roaming в папке AppData.
Разработчик посоветовал всем пользователям Downfal, кто мог загрузить ВПО, особенно, если они видели всплывающее окно Unity, изменить свои пароли, включая, незащищённые двухфакторной аутентификацией.
