Valve’ın dijital oyun mağazası Steam, ücretsiz olarak sunulan bağımsız bir yapımda kullanıcı verilerini hedef alan büyük bir güvenlik açığıyla sarsıldı. Mağazada listelenen “Beyond The Dark” adlı korku-hayatta kalma oyununun, arka planda kullanıcıların şifrelerini, internet tarayıcı verilerini ve kripto para cüzdan bilgilerini çalmayı amaçlayan tehlikeli bir yazılım barındırdığı belirlendi. Siber güvenlik uzmanlarının yürüttüğü incelemelerin ve durumun siber güvenlik camiasında hızla yayılmasının ardından Valve, oyunu platformdan tamamen kaldırdı.
WINDOWS DEFENDER’I BİLE ATLATMAYI BAŞARDI
Siber güvenlik araştırmacısı ve içerik üreticisi Eric Parker tarafından yapılan teknik analizler, oyunun bilgisayara kurulduğu andan itibaren gizlice çalışmaya başladığını ortaya koydu. Saldırganlar, zararlı kodları gizlemek için oyun motorunun tamamen yasal bir parçası olan “UnityPlayer.dll” dosyasını manipüle etti.
Oyun açıldığında sık sık çökme hatası vererek kullanıcılarda teknik bir problem imajı yaratırken, arka plandaki zararlı kodlar şu faaliyetleri yürüttü:
- Google Chrome tabanlı tarayıcılardaki tüm kayıtlı parolaları ve çerezleri hedef aldı.
- Sistemde yüklü olan MetaMask gibi kripto para cüzdan uzantılarını tarayarak dijital varlıkları ele geçirmeye çalıştı.
- Elde ettiği hassas verileri uzak bir komut ve kontrol sunucusuna aktardı.
Yapılan testler, bu manipülasyon sayesinde yazılımın güncel Windows Defender koruma sistemini bile fark edilmeden atlatmayı başardığını gösterdi.
GÜVENLİK AÇIĞINDAN YARARLANDILAR
Oyunun Steam veri tabanındaki (SteamDB) geçmiş kayıtları incelendiğinde, siber saldırganların Valve’ın denetim mekanizmasındaki büyük bir boşluktan yararlandığı anlaşıldı. Söz konusu proje, aslında platforma ilk olarak Aralık 2024 tarihinde “Rodent Race” adıyla eklenen basit ve yasal bir bağımsız yapımdı.
Saldırganlar, orijinal oyun geliştiricisinin hesabını ele geçirerek oyunun adını, mağaza görsellerini, başarımlarını ve tüm dosyalarını tamamen değiştirdi. Steam, oyunları sisteme ilk yüklendiğinde çok sıkı bir güvenlik taramasından geçirirken, halihazırda onay almış oyunlara sonradan gelen güncellemeleri aynı düzeyde denetlemiyor. Korsanlar, bu açığı kullanarak yasal bir hesabın arkasına gizlenmeyi başardı.
LİSTEDEKİ DİĞER OYUNLARA DA DİKKAT EDİLMESİ GEREKİYOR
Valve, tehlikenin kesinleşmesiyle birlikte oyunu mağazadan kalıcı olarak sildi ve indirme bağlantılarını tamamen kapattı. Ancak bu durum Steam’deki ilk vaka değil. Federal Soruşturma Bürosu (FBI) tarafından geçtiğimiz Mart ayında yayımlanan resmi bir raporda, Steam üzerinden zararlı yazılım dağıtan organize bir gruba karşı adli soruşturma başlatıldığı zaten duyurulmuştu.
FBI raporuna göre; BlockBlasters, Chemia, Dashverse, Lampy, Lunara, PirateFi ve Tokenova adlı bağımsız oyunların da benzer şekilde veri ve kripto varlık çalmak amacıyla kullanıldığı tescillenmişti.
Uzmanlar, bu oyunlardan herhangi birini ya da Beyond The Dark’ı bilgisayarına indiren kullanıcıların dosyaları hemen silmesini, bilgisayarlarında tam kapsamlı bir virüs taraması yapmasını ve internet tarayıcılarında kayıtlı olan tüm şifrelerini vakit kaybetmeden değiştirmesini önemle tavsiye ediyor.
