Raivo Plavnieks, una recaudación de fondos de streamer de videojuegos para el tratamiento del cáncer, perdió más de $ 32,000 en criptomonedas después de descargar un juego comprometido y verificado llamado Blockblasters de la plataforma Steam. Publicado por Genesis Interactive, Blockblasters fue un juego de plataformas 2D gratuito para jugar en Steam del 30 de julio al 21 de septiembre. El juego, que había acumulado cientos de críticas ‘muy positivas’, se alteró el 30 de agosto cuando se agregó un componente cryptodrainer. El software malicioso se descubrió después de que Plavnieks, un streamer conocido como RastalandTV, descargó el juego verificado durante una transmisión en vivo para recaudar fondos para su tratamiento contra el sarcoma de alto grado en la etapa 4.
«Para cualquiera que se pregunte qué está pasando con $ Cancer Live Stream … mi vida se guardó durante las 24 horas completas hasta que alguien sintonizó en mi transmisión y me hizo descargar un juego verificado en @Steam».
Plavnieks declaró después del robo. El ataque drenó más de $ 32,000 de la billetera de criptomonedas del jugador de Letonia, impactando los fondos destinados a su atención médica. Además de sus recaudadores de fondos de transmisión, los plavnieks habían establecido una campaña GoFundMe para recibir donaciones, que era del 58% de su objetivo financiero en el momento del incidente. Tras la divulgación pública del robo, el influencer de cripto Alex Becker confirmó que envió $ 32,500 a una billetera nueva y segura para Plavnieks, una cantidad destinada a cubrir la suma completa que fue robada. El alcance del ataque se extendió más allá de este único incidente. El investigador criptográfico Zachxbt informó a BleepingComuter que los perpetradores robaron un total estimado de $ 150,000 de 261 cuentas de vapor separadas. El grupo de seguridad Vxunderground, que también monitoreó la campaña maliciosa, documentó un mayor recuento de víctimas, identificando a 478 usuarios afectados. Posteriormente, Vxundroground publicó una lista de los nombres de usuario comprometidos y emitió una advertencia pública que instó a todas las personas en la lista a restablecer inmediatamente sus contraseñas de cuentas para evitar un mayor acceso no autorizado. La investigación sobre el ataque indica que las víctimas no fueron elegidas al azar. Los informes sugieren que los atacantes atacaron específicamente a las personas después de identificarlos en Twitter como gerentes de importantes tenencias de criptomonedas. Presumiblemente, a estos usuarios se les envió invitaciones directas para probar el juego Blockblasters. Un informe técnico de los investigadores detalló la función del malware, identificando un script por lotes de gotero que realizó verificaciones de entorno en el sistema de una víctima. Este script recopiló las credenciales de inicio de sesión de Steam y la dirección IP del usuario, cargando los datos en un servidor de comando y control. El análisis más detallado del investigador de GDATA Karsten Hahn documentó el uso de una puerta trasera de Python y una carga útil de Stealc, que se desplegaron junto con el robador de lotes. Durante la investigación, los expertos en seguridad notaron una importante falla de seguridad operativa por parte de los atacantes, quienes dejaron su código BOT de telegrama y tokens de autenticación expuestos. Los informes no confirmados de los expertos en inteligencia de código abierto afirman que el actor de amenaza principal ha sido identificado como un inmigrante argentino que reside en Miami, Florida. El incidente de Blockblasters es uno de los varios casos recientes de malware distribuido en Steam, luego de ataques similares a principios de año que involucran a los Juegos Chemia, Sniper: la resolución de Phantom y Piratefi.
