Selon G DATA (blog), une campagne sophistiquée a compromis le jeu BlockBlasters sur Steam via un patch malveillant (Build 19799326), touchant des centaines de joueurs en 2025 et s’inscrivant dans une tendance croissante de compromissions sur la plateforme.

L’attaque débute par un fichier batch malveillant nommé game2.bat qui collecte des informations système, détecte les antivirus et récupère des identifiants Steam. Deux chargeurs VBS exécutent ensuite d’autres scripts batch pour inventorier les extensions de navigateurs et les données de portefeuilles crypto.

La phase finale déploie le stealer StealC ainsi qu’un backdoor compilé en Python, chacun communiquant avec une infrastructure C2 distincte. Le malware utilise un chiffrement RC4, cible plusieurs navigateurs (Chrome, Brave, Edge) et met en œuvre des techniques d’évasion de Windows Defender. L’objectif est le vol de credentials, la collecte de données de navigateurs et d’informations de portefeuilles tout en établissant un accès persistant.

IOC(s) 📍

  • Patch malveillant: Build 19799326
  • Fichier initial: game2.bat
  • C2: 203.188.171.156, 45.83.28.99
  • Malware: StealC (information stealer), backdoor compilé Python

TTP(s) 🛠️

  • Chaîne d’infection multi-étapes avec loaders VBS et scripts batch
  • Collecte d’informations système et détection d’antivirus
  • Vol d’identifiants Steam, données de navigateurs et portefeuilles crypto
  • Chiffrement RC4 pour les communications
  • Évasion de Windows Defender et accès persistant
  • C2 séparés pour stealer et backdoor; cibles: Chrome, Brave, Edge

Il s’agit d’une analyse de menace visant à documenter la chaîne d’infection, les charges utiles et les indicateurs observés.

🧠 TTPs et IOCs détectés

TTPs

[‘Chaîne d’infection multi-étapes avec loaders VBS et scripts batch’, ‘Collecte d’informations système et détection d’antivirus’, ‘Vol d’identifiants Steam, données de navigateurs et portefeuilles crypto’, ‘Chiffrement RC4 pour les communications’, ‘Évasion de Windows Defender et accès persistant’, ‘C2 séparés pour stealer et backdoor; cibles: Chrome, Brave, Edge’]

IOCs

{‘patch_malveillant’: ‘Build 19799326’, ‘fichier_initial’: ‘game2.bat’, ‘c2’: [‘203.188.171.156’, ‘45.83.28.99’], ‘malware’: [‘StealC’, ‘backdoor compilé Python’]}

🔗 Source originale : https://www.gdatasoftware.com/blog/2025/09/38265-steam-blockblasters-game-downloads-malware