Imaginez que vous téléchargez un nouveau jeu sur Steam, la célèbre plateforme de jeux vidéo. Vous vous lancez dans une partie, vous vous amusez… sans vous douter une seule seconde que des hackers sont en train de dérober vos informations personnelles en arrière-plan. C’est malheureusement ce qui est arrivé à de nombreux joueurs la semaine dernière avec le jeu PirateFI, qui dissimulait un dangereux malware.

Un jeu vidéo conçu pour voler vos données

Après que Valve ait retiré PirateFI de Steam, des chercheurs en sécurité de SECUINFRA Falcon Team ont analysé le malware caché dans le jeu. Ils ont découvert que les hackers avaient modifié un jeu existant pour y insérer un « infostealer » appelé Vidar, dans le but de tromper un maximum de joueurs. Selon Marius Genheimer, chercheur chez SECUINFRA :

Nous pensons que PirateFI n’était qu’une tactique parmi d’autres utilisées pour distribuer massivement les charges utiles de Vidar. Il est très probable que ce n’ait jamais été un vrai jeu à l’origine.

– Marius Genheimer, chercheur chez SECUINFRA

Autrement dit, PirateFI a été spécialement conçu dans le but de propager ce malware, en se faisant passer pour un vrai jeu. Les hackers ont utilisé un template de jeu appelé « Easy Survival RPG » qui permet de créer facilement son propre jeu solo ou multijoueur. Cela leur a permis de créer un jeu fonctionnel cachant leur malware, sans trop d’efforts.

Vidar, un infostealer redoutable et très répandu

D’après les analyses, le malware Vidar caché dans PirateFI est capable de dérober un grand nombre d’informations sur les ordinateurs infectés :

• Les mots de passe enregistrés dans le navigateur
• Les cookies de session permettant de se connecter sans mot de passe
• L’historique de navigation
• Les détails des portefeuilles de cryptomonnaies
• Des captures d’écran
• Les codes de double authentification
• D’autres fichiers sur l’ordinateur

Ce malware, découvert en 2018, a été utilisé dans de nombreuses campagnes de hacking ces dernières années : vol d’identifiants Booking.com, déploiement de ransomwares, publicités malveillantes dans les résultats Google… En 2024, Vidar était considéré comme l’un des infostealers les plus utilisés par les cybercriminels.

Le problème, c’est que ce type de malware est vendu clé en main sur le dark web. N’importe quel hacker, même débutant, peut l’acheter et l’utiliser pour dérober des données. Il est donc très difficile de savoir qui est derrière PirateFI, puisque Vidar est massivement adopté dans le milieu cybercriminel.

Comment les chercheurs ont débusqué le malware

Les chercheurs de SECUINFRA ont analysé plusieurs échantillons du malware contenu dans PirateFI :

• Un échantillon posté sur VirusTotal (probablement par un joueur russe infecté)
• Un autre identifié via SteamDB qui publie des infos sur les jeux Steam
• Un dernier trouvé dans une base de données d’intelligence sur les menaces

D’après leurs analyses, les 3 échantillons avaient les mêmes fonctionnalités malveillantes. Les soi-disant développeurs du jeu, « Seaworth Interactive », n’ont laissé aucune trace en ligne à part un compte Steam, supprimé depuis. Ils n’ont jamais répondu aux demandes de contact…

Comment vous protéger contre ce type d’attaque ?

Même si Steam a retiré PirateFI, il n’est pas impossible que d’autres jeux infectés circulent encore. Voici quelques conseils pour vous protéger :

• Téléchargez uniquement des jeux de sources fiables (éditeurs connus, magasin officiel Steam…)
• Vérifiez les avis et commentaires avant d’installer un jeu inconnu
• Gardez votre antivirus à jour et scannez régulièrement votre ordinateur
• Méfiez-vous si un jeu vous demande des autorisations inhabituelles
• Créez des mots de passe robustes et changez-les régulièrement, surtout s’ils ont pu être compromis

En appliquant ces bonnes pratiques, vous limitez fortement les risques de vous faire pirater en jouant en ligne. Mais restez vigilants, les hackers rivalisent d’ingéniosité pour nous duper !