Un streamer atteint d'un cancer a perdu ses économies à cause d'un virus de jeu vidéo, et un Argentin vivant à Miami est accusé.

L'affaire a pris de l'ampleur sur Twitter lorsque « Smelly », l'administrateur d'un célèbre site de logiciels malveillants appelé VX Underground , a republié la vidéo de la victime en pleurs. Dès lors, il a commencé à laisser entendre qu'il s'agissait d'un canular.

Plusieurs chercheurs, surnommés « nerds » par « Smelly » sur Twitter, ont analysé le logiciel malveillant et affirment avoir trouvé des identifiants dans le code ayant envoyé les données volées à un canal Telegram. En se connectant à ce canal avec les mêmes identifiants, ils ont trouvé des messages et des utilisateurs liés à l'opération et ont utilisé ces identifiants pour suivre les profils publics sur d'autres plateformes.

Ce média a contacté l'un des chercheurs qui a réussi à neutraliser l'infrastructure des attaquants et a rédigé un rapport d'expertise : « Le jeu est téléchargeable sur Steam , avec un manifeste de tous les fichiers qui le composent. J'y ai consulté le code source, bien visible ; le fonctionnement du programme était parfaitement clair. J'y ai trouvé son infrastructure, qui contenait toutes les informations sur ses victimes, ainsi que le code permettant de le contrôler via un bot Telegram. Ce bot devait se connecter avec ses identifiants, mais… ils les avaient laissés visibles par tous dans le code, et c'est de là que nous avons réussi à pénétrer dans l'infrastructure et à la neutraliser », a expliqué 1989 , chercheur indépendant en sécurité.

Après avoir accédé au bot Telegram, ils ont découvert des comptes de réseaux sociaux menant au profil personnel présumé d'un homme nommé « Valentin », un Argentin vivant à Miami qui publie des photos de lui avec des voitures de luxe et des révélations sur sa vie privée. Plusieurs comptes ont rendu ses photos virales, et ses comptes ont rapidement été supprimés.

La cible a parlé avec Maximiliano Firtman , un programmeur qui a mis en ligne une vidéo sur Twitter, dans laquelle le jeune homme nie avoir mené l'attaque et affirme qu'il se consacre à « l'achat et à la vente de comptes de réseaux sociaux », une zone grise de pratique qui n'est pas rare chez les influenceurs.

Cette chaîne d'indices est cohérente avec une découverte technique utilisant des techniques de renseignement ouvertes (OSINT, c'est-à-dire l'obtention d'informations disponibles publiquement sur Internet, comme les réseaux sociaux et les forums, pour construire une enquête), mais il n'existe toujours pas de source officielle reliant l'Argentin à l'attaque.

L'attaque a été possible car la plateforme de jeux vidéo Steam permet de charger des jeux infectés.

« Il s'agissait d'un jeu spécialement développé pour distraire ses victimes, tandis que des données confidentielles étaient volées en coulisses, permettant aux criminels d'accéder aux portefeuilles ciblés. Ces données pourraient inclure des identifiants, des fichiers et des données de navigation. Deux possibilités s'offrent à eux : si le transfert d'argent est déclenché automatiquement par ce programme malveillant, il s'agit d'un draineur . Si les criminels ont dû traiter ces informations et interagir avec elles de leur côté pour effectuer les transferts (en obtenant tout le nécessaire), il s'agit d'un voleur », a expliqué Agustín Merlo, analyste indépendant spécialisé dans les logiciels malveillants, dans une interview accordée à Clarín .

Les draineurs sont très courants dans l'écosystème des cryptomonnaies. « Un draineur de cryptomonnaies est un outil qui vise à automatiser le transfert de fonds du portefeuille d'une victime vers un portefeuille contrôlé par un cybercriminel dans le monde des cryptomonnaies », ajoute-t-il.

« Les données confirment l'ampleur de ce problème : le rapport 2023 de l'IC3 sur les cryptomonnaies a analysé près de 69 500 plaintes liées aux cryptomonnaies, révélant que les escroqueries liées aux cryptomonnaies étaient responsables de près de 50 % des pertes totales, soit 5,6 milliards de dollars, soit une augmentation de 45 % par rapport à 2022. Cette statistique stupéfiante souligne à quel point cette exposition est devenue répandue et impactante », a déclaré Satnam Narang, ingénieur de recherche principal chez Tenable Research, à ce média.

Cela concerne principalement les entreprises du secteur des cryptomonnaies, dont l'objectif n'est pas de vider le portefeuille d'un utilisateur, mais plutôt de tenter de compromettre des comptes ayant accès à des systèmes ou outils back-end susceptibles de générer des gains financiers importants. C'est pourquoi de nombreuses plateformes d'échange de cryptomonnaies et applications financières décentralisées sont des cibles potentielles, car c'est là que les attaquants pourraient dérober des dizaines de millions de dollars, ajoute-t-il.

Le problème sous-jacent dans ce cas est que Steam, propriété de Valve, l'une des plus grandes sociétés de jeux vidéo au monde, a autorisé la mise en ligne d'un jeu infecté. Cela est lié au processus par lequel, une fois le logiciel mis en ligne sur la plateforme, il peut être mis à jour sans autre vérification.

Le processus de téléchargement d'un jeu sur Steam est relativement simple. Une fois les frais établis, actuellement de 100 $, vous devez fournir les informations de base sur le titre que les joueurs verront dans la boutique Steam, télécharger des images de référence, une description du jeu et d'autres détails. Une fois la liste des prérequis complétée, Steam demande qu'une version du jeu soit téléchargée sur la plateforme pour examen et approbation initiale, ce qui prend entre 3 et 5 jours ouvrés », a expliqué Patricio Marín, développeur de jeux vidéo argentin, à ce média.

L'auteur de Pretend Cars Racing , Marín, souligne que le problème réside dans les mises à jour du jeu : « Une fois votre jeu approuvé et téléchargé, toutes les mises à jour ultérieures sont publiées immédiatement, sans nécessiter d'approbation supplémentaire, quelle que soit la taille du changement apporté au jeu . » Cela ouvre la porte à l'infection d'un jeu vidéo, comme cela s'est produit dans ce cas.

Les chercheurs ont réussi à convaincre des entreprises de sécurité, dont Virus Total, leader dans l'identification des logiciels malveillants, de signaler les échantillons de logiciels comme dangereux. Steam a ensuite retiré le jeu.

Au-delà de l'enquête technique, l'affaire a mobilisé la communauté des joueurs et des cryptomonnaies. L'entrepreneur et YouTubeur Alex Becker a fait don de 30 000 dollars pour compenser la perte, tandis que d'autres utilisateurs ont proposé leur contribution. « Plus de 50 nerds travaillent ensemble pour réparer les dégâts », a résumé l'un des participants à l'étude.

L'affaire a suscité l'inquiétude de la communauté crypto et a déclenché des lynchages sur les réseaux sociaux. Au-delà de cela, l'enquête reste ouverte et aucune inculpation n'a encore été prononcée. La seule preuve concrète est la découverte d'un logiciel malveillant dans un titre publié sur Steam, plateforme qui a déjà supprimé le jeu, révélant un problème dans son système de contrôle du contenu téléchargeable par ses utilisateurs.

• Crypto-monnaies
• Cybersécurité