Chemia no Steam está disfarçando malware em atualizações de jogos

Um misterioso jogo do Steam chamado Chemia está sendo usado para distribuir malware discretamente por meio de suas atualizações, afirmam pesquisadores. O jogo, disponível apenas por meio de acesso antecipado baseado em solicitações, está conectado a um grupo de hackers conhecido e este é o terceiro incidente conhecido de malware que atingiu a plataforma. Com capturas de tela fracas, sem a presença pública de desenvolvedores e um executável furtivo enterrado em seus arquivos, Chemia parece mais uma isca do que um jogo de sobrevivência independente. E embora a Valve ainda não tenha respondido publicamente, a forma como este e outros incidentes anteriores ocorreram mostra que as defesas atuais do Steam não estão impedindo jogos maliciosos de entrarem na loja.

Pesquisadores de segurança cibernética da Prodaft afirmam que o caso Chemia envolve mais do que apenas desenvolvedores suspeitos. Segundo o relatório, o jogo está sendo usado por um grupo de hackers conhecido como Larva-208 (também conhecido como EncryptHub). O grupo supostamente injetou dois tipos conhecidos de malware no jogo: Fickle Stealer e HijackLoader. Esses malwares são acionados quando os usuários baixam e iniciam o jogo, rodando em paralelo com o próprio software. E embora Chemia esteja bloqueado por um sistema de acesso baseado em solicitações, ele ainda está ativo no Steam.

“Quando os usuários baixam e iniciam o jogo, o malware é executado junto com o aplicativo legítimo”, escreveu Prodaft.

Essa citação, publicada no GitHub da Prodaft, veio junto com uma análise do que realmente está acontecendo nos arquivos do jogo. Os pesquisadores dizem que, em 22 de julho, os hackers adicionaram um arquivo chamado

CVKRUTNP.exe

na compilação do Chemia. Este arquivo funciona como um HijackLoader e sua função é trazer silenciosamente ainda mais malware, como o Vidar, que foi projetado para roubar informações pessoais e dados do navegador de usuários infectados.

Chemia é supostamente um projeto da "Aether Forge Studios", uma desenvolvedora que não possui um site ou qualquer presença online real. A própria listagem no Steam é vaga, descrevendo Chemia como um jogo de sobrevivência e criação de personagens. Mas os únicos visuais disponíveis mostram cenários genéricos e de baixo esforço — sem personagens, sem interface, sem jogabilidade. A teoria atual é que o jogo foi criado como um cavalo de Troia, oferecendo o mínimo necessário para parecer real e ser listado no Steam.

Esta não é a primeira vez que hackers exploram o sistema de distribuição do Steam. Em março, outro incidente envolveu um FPS futuro chamado Sniper: Phantom's Resolution. Nesse caso, o hacker não instalou malware diretamente na versão do Steam. Em vez disso, a página do jogo direcionava para um site externo com uma demo falsa. Esse domínio

sierrasixstudios.dev

foi destaque na página oficial, mas os verdadeiros desenvolvedores ainda não o haviam comprado. Um golpista registrou o domínio, enviou malware e enganou as pessoas para que o baixassem por meio de links de compartilhamento de arquivos.

O estúdio por trás de Sniper: Phantom's Resolution confirmou que foi pego no meio do problema. Um representante chamado Andrew explicou o erro em uma publicação no Reddit, dizendo que a equipe planejava criar um site real eventualmente, mas não esperava que alguém adquirisse o nome tão rapidamente. Assim que os arquivos maliciosos foram descobertos, a Valve removeu a página do Steam.

No início deste ano, outro jogo chamado PirateFi também passou pelas salvaguardas da Valve. Tratava-se de um jogo gratuito publicado diretamente no Steam e que também continha malware. O hacker o promoveu no Telegram, usando mensagens de bots e até mesmo ofertas falsas de emprego para cargos de "moderador" para atrair usuários. Não está claro como o PirateFi passou pelas verificações de backend do Steam, e a Valve não divulgou detalhes publicamente. Mas o jogo foi retirado do ar após ser sinalizado.

A diferença com o Chemia é que ele é uma tentativa mais direta. O malware faz parte do próprio jogo e é distribuído pelo sistema oficial de distribuição do Steam. Isso significa que os hackers não precisaram de um site falso ou links externos — eles apenas enviaram uma atualização. A presença do downloader de malware de backup dentro dos arquivos mostra como essa configuração funciona: um clique instala o jogo, que instala o payload, que traz ainda mais malware.

Até o momento, a Valve não se pronunciou publicamente sobre o caso Chemia. O jogo continua disponível apenas por solicitação, então é provável que poucos usuários o tenham instalado. Mas esse alcance limitado não muda o fato de que este é o terceiro incidente conhecido relacionado a malware envolvendo o Steam em menos de seis meses.

Os três ataques seguiram táticas ligeiramente diferentes. O PirateFi utilizou uploads internos, o Sniper explorou um link de domínio externo e o Chemia está enviando atualizações infectadas diretamente pela plataforma. Essa variedade é um problema para a Valve, pois mostra que os invasores estão testando diferentes maneiras de burlar a segurança da plataforma.

A análise pública da Prodaft inclui uma lista completa de nomes de arquivos, domínios e assinaturas de malware vinculados ao Chemia. Esses indicadores de comprometimento visam ajudar fornecedores de antivírus e administradores de TI a sinalizar infecções. Para usuários comuns, porém, não há muito o que fazer a não ser evitar jogos desconhecidos, especialmente aqueles que exigem solicitações especiais de acesso ou que são de desenvolvedores sem presença online.

A Prodaft não informou há quanto tempo o Chemia estava listado antes da adição do malware. Os primeiros sinais de jogo sujo apareceram com o arquivo " CVKRUTNP.exe" em 22 de julho, mas essa pode não ter sido a primeira atualização do jogo. Se alguém instalou o jogo antes, não está claro se também recebeu versões anteriores do malware. Leia também sobre como o Steam reprime jogos adultos com uma nova regra vaga, que abordamos no texto anterior.

A questão central é a confiança. Quando um jogo aparece no Steam, as pessoas presumem que ele passou por uma verificação básica. E o sistema atual da Valve claramente não está detectando tudo. Por enquanto, o único filtro real são os relatórios de usuários e pesquisas de terceiros, como a da Prodaft. À medida que os invasores se tornam mais criativos, essa lacuna pode aumentar.