В конце июля 2025 года специалисты PRODAFT обнаружили масштабную атаку через ранний доступ к игре Chemia на платформе Steam. В инсталлятор были встроены троян-загрузчик и два инфостилера, нацеленные на кражу seed-фраз криптокошельков и конфиденциальных данных пользователей.
Этот инцидент подтверждает, что даже популярные игры могут стать векторами сложных кибератак с целью прямого доступа к цифровым активам (криптовалютам).
Хакеры EncryptHub: обзор атаки
Группа EncryptHub (Larva-208) впервые заявила о себе в середине 2024 года, проведя серию точечных фишинговых атак на крупные корпорации. Со времени своего дебюта она успела поразить более 600 организаций, включая банки и IT-компании, что уже само по себе говорит о высочайшем уровне её профессионализма.
Основу тактики EncryptHub составляют два приёма. Во-первых, злоумышленники следят за «нулевыми днями» в Windows и популярных приложениях — как только уязвимость появляется в закрытых каналах, они тут же превращают её в незаметный дверной проём для проникновения. Во-вторых, хорошо подготовленные фишинговые рассылки и поддельные порталы заставляют сотрудников открывать вредоносные вложения или переходить по опасным ссылкам, сами того не подозревая.
При атаке на Steam-проект Chemia команда EncryptHub не изменила своим привычкам. Скомпрометировав доступ к билд-серверу или аккаунту разработчика, они встроили в установщик игры троян HijackLoader. При первом запуске он надёжно закрепляется в системе и связывается с сервером в Telegram, чтобы получить и установить два инфостилера — Fickle Stealer, крадущий пароли, cookies и локальные кошельки, и Vidar Stealer, вытягивающий seed-фразы и приватные ключи из MetaMask, Trust Wallet и менеджеров паролей.
Вся похищенная информация моментально шифруется и улетает на серверы преступников, что даёт им возможность в считанные секунды опустошить кошельки жертв. А благодаря регулярным «ответственным» публикациям об уязвимостях EncryptHub остаётся практически невидимым для большинства систем защиты, создавая иллюзию добросовестности и отвлекая внимание исследователей от своих криминальных целей.
Именно такое сочетание скрытности, технической изощрённости и мастерства в социальной инженерии делает EncryptHub одним из самых опасных игроков на полях кибервойн.
Криптобриз, Александра Суворова
Механизм инфильтрации и кражи ключей доступа
При старте Chemia троян HijackLoader, внедрённый в установщик, закрепляется в системе и устанавливает связь с удалённым сервером в Telegram. Оттуда он подгружает два инфостилера:
| Модуль | Метод инфильтрации | Цифровые активы в зоне риска |
|---|---|---|
| HijackLoader | Интеграция в инсталлятор | Управление загрузкой зловредов, поддержка persistence |
| Fickle Stealer | PowerShell-скрипт | Пароли, cookies, локальные хранилища non-custodial криптокошельков |
| Vidar Stealer | Malware-as-a-Service | Seed-фразы, приватные ключи (MetaMask, Trust Wallet), данные мессенджеров |
Согласно исследованию PRODAFT, троян HijackLoader получил кодовое имя «S0459» в их базе угроз: PRODAFT: Chemia Malware Analysis
Таким образом, в рамках blockchain security инсайдеры получают полный контроль над непрограммными кошельками пользователей, обходя любые программные барьеры.
Тенденции атак на критическую инфраструктуру
Масштабные кибератаки затрагивают не только криптосообщество, но и стратегические бизнес-сегменты. Так, 28 июля 2025 года российская авиакомпания Aeroflot стала жертвой проукраинских хакеров, приведшей к отмене более 40 рейсов и нарушению работы 7 000 серверов — атака квалифицируется как «тяжёлое предупреждение» для операторов критической инфраструктуры (Reuters). Параллельно аналогичная «волна» постигла сеть аптек «Столички», чьи кассы и системы учёта были парализованы по всей Москве, вынудив персонал уйти в вынужденный отпуск (vm.ru). Эти события демонстрируют переход от таргетированного криптокражи к широко направленным ударам по традиционным сервисам.
Угрозы для рынка децентрализованных финансов
В контексте децентрализованных финансов (DeFi) потеря приватных ключей или seed-фраз означает безвозвратный вывод средств. Операторы DeFi-протоколов всё активнее внедряют многофакторную аутентификацию, мультиподпись (multi-sig) и cold storage, однако наличие вредоносных модулей на пользовательском устройстве нивелирует эти меры. Интеграция аппаратных кошельков (Ledger, Trezor) и регулярный аудит смарт-контрактов остаются критически важными для поддержания EEAT-подхода в сфере криптозащиты.
Рекомендации экспертов как защититься
Прежде чем запускать любой софт, особенно в режиме Early Access, сверяйте SHA-256 хеш установочных файлов с официальными публикациями разработчика. Поддерживайте антивирусные базы и EDR-решения в актуальном состоянии — современные решения на основе on-chain analytics способны выявить подозрительное поведение приложений на уровне сети.
Храните seed-фразы исключительно на аппаратных устройствах, избегая их сохранения в программных хранилищах. И наконец, всегда используйте многофакторную аутентификацию для всех операций с цифровыми активами.
Заключение
Инцидент с криптоатакой через Chemia стал очередным сигналом: в эпоху быстрого роста крипторынка и DeFi-экосистемы злоумышленники не гнушаются любыми векторами вторжения — от игровых платформ до стратегически важных отраслей, таких как авиация и фармацевтика.
Steam нужен комплексный, экспертно подтверждённый подход к безопасности. Только это поможет защитить цифровые активы и сохранить доверие пользователей. Ну а клиентам стоит озаботиться о личной безопасности и надежности своих активов, как финансовых так и интеллектуальных.
Поделитесь статьей с близкими, возможно это остановит их от скачивания нового малоизвестного проекта и спасет их от взлома.