Een streamer met kanker verloor zijn spaargeld door een virus in zijn videogame, en een Argentijn die in Miami woont, wordt beschuldigd.

De zaak escaleerde op Twitter toen "Smelly", de beheerder van een bekende malwaresite genaamd VX Underground , de video van het huilende slachtoffer opnieuw plaatste. Vanaf dat moment begon hij aanwijzingen te geven dat het een hoax was.

Verschillende onderzoekers, die op Twitter door "Smelly" de bijnaam "nerds" kregen, analyseerden de malware en beweerden inloggegevens te hebben gevonden in de code waarmee de gestolen gegevens naar een Telegram-kanaal werden gestuurd. Toen ze met dezelfde inloggegevens verbinding maakten met dat kanaal, vonden ze berichten en gebruikers die aan de operatie waren gekoppeld en gebruikten ze die identificatiegegevens om openbare profielen op andere platforms te volgen.

Deze media namen contact op met een van de onderzoekers die erin slaagde de infrastructuur van de aanvallers plat te leggen en stelden een forensisch rapport op: "De game is voor iedereen beschikbaar om te downloaden op Steam , met een 'manifest' van alle bestanden waaruit het bestaat. Ik keek daar en vond de broncode duidelijk zichtbaar, het was vrij duidelijk wat het programma deed. Daar vond ik de infrastructuur, die alle informatie over de slachtoffers bevatte, samen met de code waarmee ze het via een Telegram-bot konden besturen. Die bot moest inloggen met inloggegevens, maar... Ze hadden die zichtbaar gelaten voor iedereen in de code en van daaruit zijn we erin geslaagd om binnen te dringen en de infrastructuur plat te leggen", legde 1989 , een onafhankelijk beveiligingsonderzoeker, uit.

Toen ze eenmaal toegang hadden tot de Telegram-bot, ontdekten ze socialemedia-accounts die leidden naar een zogenaamd persoonlijk profiel van een man genaamd " Valentín ", een Argentijn die in Miami woont en foto's van zichzelf plaatst met luxe auto's en diverse onthullingen over zijn privéleven. Verschillende accounts zorgden ervoor dat zijn foto's viraal gingen en al snel werden zijn accounts verwijderd.

Het doelwit sprak met Maximiliano Firtman , een programmeur die een video op Twitter plaatste, waarin de jongeman ontkent de aanval te hebben uitgevoerd en zegt dat hij zich toelegt op "het kopen en verkopen van accounts op sociale media", een grijs gebied dat niet ongebruikelijk is onder influencers.

Deze reeks aanwijzingen komt overeen met een technische ontdekking waarbij gebruik is gemaakt van open inlichtingentechnieken (OSINT, dat wil zeggen het verkrijgen van informatie die openbaar beschikbaar is op internet, zoals sociale media en forums, om een ​​onderzoek op te zetten), maar er is nog steeds geen officiële bron die de Argentijn in verband brengt met de aanval.

De aanval was mogelijk omdat het videogameplatform Steam het laden van geïnfecteerde games toestaat.

"Het was een spel dat speciaal was ontwikkeld om de slachtoffers af te leiden, terwijl vertrouwelijke gegevens achter de schermen werden gestolen, waardoor criminelen toegang kregen tot de beoogde wallets. Deze gegevens kunnen inloggegevens, bestanden en browsergegevens omvatten. Er zijn twee mogelijkheden: als de geldoverdracht automatisch wordt geactiveerd door dit schadelijke programma, hebben we het over een drainer . Als de criminelen deze informatie moesten verwerken en er zelf mee moesten interacteren om de overdrachten uit te voeren (en alles moesten verzamelen wat daarvoor nodig was), hebben we het over een stealer ", legde Agustín Merlo, een onafhankelijk malware-analist, uit in een interview met Clarín .

Drainers komen veel voor in het crypto-ecosysteem. "Een cryptodrainer is een tool die gericht is op het automatiseren van de overboeking van geld van de wallet van een slachtoffer naar een wallet die wordt beheerd door een cybercrimineel in de cryptowereld", voegt hij eraan toe.

"De gegevens bevestigen de omvang van dit probleem: het IC3 Cryptocurrency Report uit 2023 analyseerde bijna 69.500 klachten over cryptovaluta. Hieruit bleek dat cryptovalutafraude verantwoordelijk was voor bijna 50% van de totale verliezen, goed voor $ 5,6 miljard, een stijging van 45% ten opzichte van 2022. Deze verbijsterende statistiek onderstreept hoe wijdverbreid en impactvol deze blootstelling is geworden", vertelde Satnam Narang, Senior Research Engineer bij Tenable Research, aan deze site.

Dit treft vooral "bedrijven in de cryptomarkt, waar het doel niet is om de portemonnee van een individuele gebruiker leeg te halen, maar om accounts te hacken die toegang hebben tot backendsystemen of tools die tot aanzienlijke financiële winst kunnen leiden. Daarom zie je veel cryptobeurzen en gedecentraliseerde financiële applicaties als doelwit, omdat aanvallers daar tientallen miljoenen dollars kunnen vinden om te stelen", voegt hij eraan toe.

Het onderliggende probleem in dit geval is dat Steam, eigendom van Valve, een van 's werelds grootste videogamebedrijven, het uploaden van een geïnfecteerde game toestond. Dit heeft te maken met het proces waarbij de software, nadat deze op het platform is geüpload, zonder verdere controle kan worden bijgewerkt.

"Het proces om een ​​game naar Steam te uploaden is relatief eenvoudig. Zodra je de vastgestelde vergoeding hebt betaald, die momenteel $ 100 bedraagt, moet je de basisinformatie over de game invullen die spelers in de Steam Store zullen zien, referentieafbeeldingen uploaden, een beschrijving van de game en andere details. Zodra de lijst met vereisten compleet is, verzoekt Steam om een ​​versie van de game te uploaden naar het platform voor beoordeling en eerste goedkeuring, wat tussen de 3 en 5 werkdagen duurt", vertelde Patricio Marín, een Argentijnse videogameontwikkelaar, aan deze site.

Volgens Marín, auteur van Pretend Cars Racing , ligt het probleem bij de updates van de game: "Zodra je game is goedgekeurd en geüpload, worden alle volgende updates direct gepubliceerd, zonder dat er extra goedkeuring nodig is, ongeacht hoe klein of groot de wijziging in de game is ." Dit zet de deur open voor een infectie van een videogame, zoals in dit geval gebeurde.

De onderzoekers slaagden erin beveiligingsbedrijven zover te krijgen dat ze de software als gevaarlijk gingen markeren, waaronder Virus Total, het toonaangevende bedrijf voor malware-identificatie. Steam haalde vervolgens de game offline.

Naast het technische onderzoek mobiliseerde het verhaal de gaming- en cryptogemeenschap. Ondernemer en YouTuber Alex Becker doneerde $ 30.000 om het verlies te compenseren, terwijl andere gebruikers aanboden om bij te dragen. "Meer dan 50 nerds werken samen om de schade te herstellen", vatte een van de deelnemers aan het onderzoek samen.

De zaak wekte argwaan in de cryptogemeenschap en leidde tot lynchpartijen op sociale media. Het onderzoek loopt nog steeds en er zijn nog geen formele aanklachten. Het enige concrete bewijs is de ontdekking van malware in een game die is gepubliceerd op Steam, een platform dat de game al heeft verwijderd. Dit zou een probleem hebben met het systeem voor het beheren van de content die gebruikers kunnen downloaden.

• Cryptovaluta
• Cyberbeveiliging