{"id":57165,"date":"2025-03-06T09:46:58","date_gmt":"2025-03-06T08:46:58","guid":{"rendered":"https:\/\/www.secuinfra.com\/?p=57165"},"modified":"2025-03-24T15:45:08","modified_gmt":"2025-03-24T14:45:08","slug":"infostealer-malware-vidar-ueber-den-steam-store-verbreitet","status":"publish","type":"post","link":"https:\/\/testing.secuinfra.com\/de\/techtalk\/infostealer-malware-vidar-ueber-den-steam-store-verbreitet\/","title":{"rendered":"Infostealer-Malware &#8222;Vidar&#8220; \u00fcber den Steam-Store verbreitet"},"content":{"rendered":"<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_83 counter-flat ez-toc-counter ez-toc-white ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">[inhalt_uebersetzt]<\/p>\n<span class=\"ez-toc-title-toggle\"><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/infostealer-malware-vidar-ueber-den-steam-store-verbreitet\/#Einfuehrung\" >Einf\u00fchrung<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/infostealer-malware-vidar-ueber-den-steam-store-verbreitet\/#Technische_Analyse\" >Technische Analyse<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/infostealer-malware-vidar-ueber-den-steam-store-verbreitet\/#Schlussfolgerung\" >Schlussfolgerung<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/infostealer-malware-vidar-ueber-den-steam-store-verbreitet\/#Indikatoren_fuer_Kompromisse_IoC\" >Indikatoren f\u00fcr Kompromisse (IoC)<\/a><\/li><\/ul><\/nav><\/div>\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Einfuehrung\"><\/span>Einf\u00fchrung<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Ein kostenloses Survival-Spiel mit dem Namen &#8222;PirateFi&#8220; im Online-Spielespeicher Steam hat die Malware Vidar zum Diebstahl von Informationen an ahnungslose Spieler verteilt. Letzte Woche hat Valve ein Spiel aus seinem Online-Store entfernt, weil Nutzer ihre Bedenken \u00fcber Malware-Warnungen durch Anti-Virus-Software nach dem Start des Spiels \u00e4u\u00dferten.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Nach der Entfernung des Spiels analysierte das SECUINFRA Falcon Team die Malware und stellte fest, dass das Spiel ein Versuch war, die Spieler zur Installation eines Infodiebstahls namens &#8222;Vidar&#8220; zu verleiten. Da die Spielwerbung Hinweise auf Kryptow\u00e4hrungen und Blockchain-Technologie enthielt, glauben wir, dass dies ein K\u00f6der war, der speziell auf Spieler abzielte, die sich f\u00fcr diese Themen interessieren.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">\u00dcber diese Forschung wurde auch in<a  href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/piratefi-game-on-steam-caught-installing-password-stealing-malware\/\"  dpc-external=\"true\"  target=\"_blank\"  rel=\"nofollow\" > BleepingComputer<\/a> und<a  href=\"https:\/\/techcrunch.com\/2025\/02\/18\/hackers-planted-a-steam-game-with-malware-to-steal-gamers-passwords\/\"  dpc-external=\"true\"  target=\"_blank\"  rel=\"nofollow\" > Techcrunch<\/a> berichtet.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Technische_Analyse\"><\/span>Technische Analyse<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Die Analyseplattform SteamDB hat die Entfernung des Spiels aus dem Steam-Store schnell bemerkt und <a  href=\"https:\/\/x.com\/SteamDB\/status\/1889610974484705314\"  dpc-external=\"true\"  target=\"_blank\"  rel=\"nofollow\" >die Benachrichtigung von Valve an die betroffenen Spieler auf X (Twitter) <\/a>ver\u00f6ffentlicht. Wir nutzten die SteamDB-Plattform , um visuell eine verd\u00e4chtig gro\u00dfe ausf\u00fchrbare Datei zu identifizieren, die innerhalb von drei Tagen mehrfach ge\u00e4ndert und neu hochgeladen wurde. Dies gab uns einen Ausgangspunkt f\u00fcr unsere geplante Malware-Analyse.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img fetchpriority=\"high\" decoding=\"async\" width=\"1600\" height=\"786\" src=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/steam-infostealer-1-1600x786.png\" alt=\"\" class=\"wp-image-57167\" srcset=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/steam-infostealer-1-1600x786.png 1600w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/steam-infostealer-1-800x393.png 800w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/steam-infostealer-1-768x377.png 768w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/steam-infostealer-1-1536x755.png 1536w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/steam-infostealer-1-2048x1006.png 2048w\" sizes=\"(max-width: 1600px) 100vw, 1600px\" \/><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\"><br>Abbildung1 : Verd\u00e4chtige \u00c4nderungen am PirateFi-Spiele-Repository (Quelle: SteamDB)<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Das von uns identifizierte Beispiel von &#8222;Pirate.exe&#8220; hat eine Gr\u00f6\u00dfe von 693 MB. Diese Eigenschaft findet man h\u00e4ufig bei Infostealer-Malware, um mit geringem Aufwand die Erkennung durch Antivirenprogramme und Sandboxen zu umgehen. Wir haben festgestellt, dass die Datei als InnoSetup-Installationsassistent verpackt ist, den wir entpacken m\u00fcssen.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img decoding=\"async\" width=\"1600\" height=\"1341\" src=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/steam-infostealer-2-1600x1341.png\" alt=\"\" class=\"wp-image-57169\" srcset=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/steam-infostealer-2-1600x1341.png 1600w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/steam-infostealer-2-800x671.png 800w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/steam-infostealer-2-768x644.png 768w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/steam-infostealer-2-1536x1288.png 1536w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/steam-infostealer-2-2048x1717.png 2048w\" sizes=\"(max-width: 1600px) 100vw, 1600px\" \/><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\"><br>Abbildung2 : Visualisierung der Abschnitte von &#8222;Pirate.exe&#8220;, mit einem aufgebl\u00e4hten Overlay<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Mit dem Tool &#8222;innoextract&#8220; l\u00e4sst sich die &#8211; wiederum massiv aufgebl\u00e4hte &#8211; Nutzlast namens &#8222;Howard.exe&#8220; aus der Installationsdatei &#8222;pirate.exe&#8220; extrahieren. Die extrahierte ausf\u00fchrbare Datei ist immer noch 507 MB gro\u00df, was die weitere Analyse erschweren k\u00f6nnte<\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><img decoding=\"async\" width=\"1430\" height=\"330\" src=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/steam-infostealer-3.png\" alt=\"\" class=\"wp-image-57171\" srcset=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/steam-infostealer-3.png 1430w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/steam-infostealer-3-800x185.png 800w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/steam-infostealer-3-768x177.png 768w\" sizes=\"(max-width: 1430px) 100vw, 1430px\" \/><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\"><br>Abbildung3 : Entpacken der InnoSetup-Installerdatei<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Wir haben das Debloat-Tool von @SquiblydooBlog (https:\/\/github.com\/Squiblydoo\/debloat) verwendet, um die Datei auf eine handlichere Gr\u00f6\u00dfe von 2,6 MB zu schrumpfen, indem wir den \u00fcberfl\u00fcssigen Inhalt aus dem Datei-Overlay entfernt haben (einen gro\u00dfen Block mit zuf\u00e4llig ausgew\u00e4hlten W\u00f6rterbuchw\u00f6rtern).<\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"1192\" height=\"1248\" src=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/steam-infostealer-4.png\" alt=\"\" class=\"wp-image-57173\" srcset=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/steam-infostealer-4.png 1192w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/steam-infostealer-4-764x800.png 764w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/steam-infostealer-4-768x804.png 768w\" sizes=\"(max-width: 1192px) 100vw, 1192px\" \/><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\"><br>Abbildung4 : Entleeren der ausf\u00fchrbaren Datei mit &#8222;debloat&#8220;<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Durch dynamische Analyse und YARA-Signatur\u00fcbereinstimmungen haben wir festgestellt, dass es sich um ein Vidar-Infostealer-Muster handelt.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Vidar verwendet einen zweistufigen Ansatz f\u00fcr die Befehls- und Kontrollkommunikation. Die Malware-Konfiguration enth\u00e4lt Links zu zwei so genannten Dead Drop Resolvern (DDR). Diese DDRs verwenden legitime Websites wie Telegram, Mastodon, Google Calendar oder in diesem Fall ein Steam-Benutzerprofil, um die URL\/IP-Adresse f\u00fcr den zweiten (&#8222;echten&#8220;) CnC-Server zu speichern. Dies hilft dem Bedrohungsakteur, seine Backend-Infrastruktur zu verschleiern, und erm\u00f6glicht eine gewisse Flexibilit\u00e4t beim gleichzeitigen Betrieb mehrerer CnC-Server. Ein solcher DDR enth\u00e4lt einen Marker\/Schl\u00fcssel (hier: a110mgz), der zur Verifizierung des DDR-Inhalts und der IP-Adresse (z. B. 95.216.180[.]186) des zweiten CnC verwendet wird (siehe Abbildung 5 unten). Wie Sie auf dem Screenshot sehen k\u00f6nnen, werden die IPs der zweiten Stufe des CnC von Zeit zu Zeit ausgetauscht.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1600\" height=\"641\" src=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/steam-infostealer-5-1600x641.png\" alt=\"\" class=\"wp-image-57175\" srcset=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/steam-infostealer-5-1600x641.png 1600w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/steam-infostealer-5-800x320.png 800w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/steam-infostealer-5-768x308.png 768w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/steam-infostealer-5-1536x615.png 1536w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/steam-infostealer-5-2048x820.png 2048w\" sizes=\"(max-width: 1600px) 100vw, 1600px\" \/><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\"><br>Abbildung5 : Dead Drop Resolver auf einem Steam-Profil gehostet<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Der Command and Control-Server der zweiten Stufe, der mit dieser Probe verbunden ist, ist opbafindi[.]com. Ein anderes Beispiel, das sp\u00e4ter identifiziert wurde, verwendet einen anderen Server: durimri[.]sbs.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Schlussfolgerung\"><\/span>Schlussfolgerung<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Wir kommen zu dem Schluss, dass &#8222;PirateFi&#8220; zu keinem Zeitpunkt ein legitimes, spielbares Spiel war, sondern vielmehr ein direkter Versuch, Spieler mit Interesse an Kryptow\u00e4hrungen mit Infostealer-Malware zu infizieren. Der Bedrohungsakteur \u00e4nderte die Spieldateien mehrfach, z. B. mit verschiedenen Verschleierungstechniken und Command-and-Control-Servern f\u00fcr die Exfiltration von Anmeldeinformationen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Wir k\u00f6nnen nicht best\u00e4tigen, ob dies die erste Malware-Verbreitungskampagne \u00fcber ein Steam-Spiel \u00fcberhaupt ist, aber es ist sicherlich ein bisher seltenes Vorkommnis. Dieser Fall k\u00f6nnte andere Bedrohungsakteure dazu veranlassen, solche Kampagnen in Zukunft zu versuchen. Valve muss seine Pr\u00fcfverfahren und Erkennungsm\u00f6glichkeiten f\u00fcr Malware in Spielepaketen verbessern. Unserer Meinung nach h\u00e4tten sie in der Lage sein m\u00fcssen, diesen Vorfall anhand von Dateieigenschaften wie ung\u00fcltigen Signaturen, aufgebl\u00e4hter Dateigr\u00f6\u00dfe und unregelm\u00e4\u00dfigen \u00c4nderungen am Speicherort der Spieldateien innerhalb einer kurzen Zeitspanne automatisch zu erkennen.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Indikatoren_fuer_Kompromisse_IoC\"><\/span>Indikatoren f\u00fcr Kompromisse (IoC)<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">Ausf\u00fchrbare Dateien<\/h3>\n\n\n\n<figure class=\"wp-block-table\"><table class=\"has-fixed-layout\"><tbody><tr><td><strong>Dateiname<\/strong><\/td><td><strong>MD5-Hash<\/strong><\/td><\/tr><tr><td>Pirat.exe<\/td><td>57ed3e1505b3bd9dfb2fc85a8efce1e9<\/td><\/tr><tr><td>Pirat.exe<\/td><td>187f0daaedc4e8c01c538c1075036d77<\/td><\/tr><tr><td>Corsair.exe<\/td><td>7dcaa927972d159a44679d1d0d9a786d<\/td><\/tr><tr><td>Howard.exe<\/td><td>e3202e70c2d8aecf0347f85c4fb39032<\/td><\/tr><tr><td>Howard_patched.exe<\/td><td>c5ad9a93b22622ae100aff54ae31dc8a<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<h3 class=\"wp-block-heading\">Befehls- und Kontrollinfrastruktur<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Erste Stufe C2s \/ Dead Drop Resolver:<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">hxxps:\/\/t[.]me\/sok33tn<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">hxxps:\/\/steamcommunity[.]com\/profiles\/76561199824159981<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Zweite Stufe C2:<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">opbafindi[.]com (159.69.103[.]4)<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">durimri[.]sbs (5.75.215[.]154)<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Ein kostenloses Survival-Spiel mit dem Namen &#8222;PirateFi&#8220; im Online-Spielespeicher Steam hat die Malware Vidar zum Diebstahl von Informationen an ahnungslose Spieler verteilt. Letzte Woche hat Valve ein Spiel aus seinem Online-Store entfernt, weil Nutzer ihre Bedenken \u00fcber Malware-Warnungen durch Anti-Virus-Software nach dem Start des Spiels \u00e4u\u00dferten.<\/p>\n<p>Nach der Entfernung des Spiels analysierte das SECUINFRA Falcon Team die Malware und stellte fest, dass das Spiel ein Versuch war, die Spieler zur Installation eines Infodiebstahls namens &#8222;Vidar&#8220; zu verleiten. Da die Spielwerbung Hinweise auf Kryptow\u00e4hrungen und Blockchain-Technologie enthielt, glauben wir, dass dies ein K\u00f6der war, der speziell auf Spieler abzielte, die sich f\u00fcr diese Themen interessieren.<\/p>\n","protected":false},"author":6,"featured_media":57188,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[100,66],"tags":[7],"dpc_coauthors":[],"class_list":["post-57165","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-angriffserkennung","category-techtalk","tag-cyber-defense"],"acf":[],"_links":{"self":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/posts\/57165","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/users\/6"}],"replies":[{"embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/comments?post=57165"}],"version-history":[{"count":0,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/posts\/57165\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/media\/57188"}],"wp:attachment":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/media?parent=57165"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/categories?post=57165"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/tags?post=57165"},{"taxonomy":"dpc_coauthors","embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/dpc_coauthors?post=57165"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}