Вирусы на официальных сайтах Steam, Minecraft и Endgame Gear | Блог Касперского

Как геймеры сталкиваются с вредоносным ПО даже на доверенных ресурсах — рассказываем о зловредах в Endgame Gear, троянах в Steam и вредоносных скинах Minecraft.

Опытным геймерам хорошо известно об угрозах, связанных с установкой игр, модов, скинов и другого геймерского ПО из неофициальных ресурсов. Однако источниками заражения могут быть и те платформы, которым пользователи привыкли доверять, — сайты разработчиков и официальные магазины.

В нашем посте мы разберем несколько случаев, когда злоумышленники распространяли вредоносное ПО через официальные геймерские ресурсы. В конце расскажем, как защитить свою систему, лут и аккаунт — и спокойно играть, не опасаясь встретиться с неожиданными сюрпризами даже на привычных платформах.

Зараженная утилита для настройки мыши Endgame Gear

В июле 2025 года производитель продвинутых мышей, ориентированных на киберспортсменов и опытных геймеров, Endgame Gear сообщил о вредоносном ПО, которым была заражена утилита для настройки мыши OP1w 4k v2. Этот троян находился на официальном сайте компании почти две недели — с 26 июня по 9 июля 2025 года.

На официальной странице игровой мыши модели Endgame Gear OP1w 4k v2 распространялась утилита настройки, зараженная вредоносным ПО. Источник

XRed обладает широким набором возможностей для удаленного управления зараженной системой. Он имеет функцию кейлоггера, а также позволяет злоумышленнику получать доступ к командной строке, делать скриншоты, просматривать содержимое дисков и папок, загружать и удалять файлы. Кроме того, зловред может скачивать дополнительные модули и передавать собранные данные о системе на удаленные серверы.

То, что с инструментом для конфигурации мыши OP1w 4k v2 что-то не так, заметили сами пользователи и начали обсуждать подозрительные признаки на Reddit еще за две недели до официального заявления Endgame Gear. Ключевые детали, которые обратили на себя внимание геймеров: размер программы — зараженная версия весила 2,8 Мбайта вместо 2,3 Мбайта — и подпись в свойствах файла, где вместо «Endgame Gear OP1w 4k v2 Configuration Tool» отображалось «Synaptics Pointing Device Driver».

В своем официальном заявлении об инциденте Endgame Gear сообщила, что пользователи, скачавшие инструмент для конфигурации с общей страницы загрузок (endgamegear.com/downloads), из GitHub или с Discord-канала компании, находятся в безопасности. Угроза касается исключительно геймеров, загрузивших ПО напрямую с продуктовой страницы модели OP1w 4k v2 в период с 26 июня по 9 июля 2025 года. После этого вредоносное ПО было удалено с сайта компании.

Всем пользователям, которые подозревают, что могли стать жертвой трояна, производитель мыши советует предпринять следующие действия:

• Удалить все содержимое папки C:\ProgramData\Synaptics.
• Выполнить полное сканирование системы с помощью надежного антивируса.
• Заново загрузить чистую версию утилиты.

Помимо этого, стоит сменить пароли во всех важных аккаунтах, включая финансовые сервисы, электронную почту, рабочие учетные записи и так далее.

Вредоносное ПО в трех играх с ранним доступом в Steam

В 2025 году также появлялась информация о нескольких случаях распространения вредоносного ПО через игры с ранним доступом в Steam.

• В феврале это была PirateFi, игра в стиле "симулятор выживания" — об этом случае мы рассказывали на блоге Kaspersky Daily.
• В марте похожая история произошла с тактическим шутером Sniper: Phantoms Resolution.
• В июле злоумышленники выложили зараженную версию Chemia, еще одного "выживача".

Во всех трех случаях речь шла об играх с ранним доступом — вероятно, Steam применяет более мягкие процедуры проверки для пререлизов игр. Давайте рассмотрим эти три случая подробнее.

Через несколько дней после релиза бета-версии PirateFi — первой игры, разработанной некой Seaworth Interactive — один из пользователей на форуме Steam рассказал, что его антивирус не дал ему запустить игру. Защитное ПО сообщило о наличии внутри PirateFi зловреда Trojan.Win32.Lazzzy.gen, которого игра после запуска устанавливала в каталог AppData/Temp.

Вредоносная игра PirateFi обещала игрокам симулятор выживания в пиратском стиле, а на деле воровала браузерные куки, чтобы угонять аккаунты. Источник

Основной целью трояна была кража браузерных куки-файлов. Эти файлы позволяли злоумышленникам получить доступ к аккаунтам жертв в финансовых сервисах, социальных сетях и на других онлайн-платформах. Несколько игроков, скачавших и запустивших игру, сообщили о том, что преступники сменили пароли в их аккаунтах и похитили средства. Через четыре дня после размещения PirateFi была удалена из Steam. Все скачавшие игру пользователи — а таких, к счастью, было всего около 800 человек — получили официальное уведомление от платформы с предупреждением о зловреде на их устройствах.

Пользователи, скачавшие зараженную игру PirateFi, получили уведомление от Steam о возможном запуске вредоносного ПО на их устройствах. Источник

Всего месяц спустя подобная ситуация повторилась с другой игрой — Sniper: Phantoms Resolution от Sierra Six Studios. И снова игроки первыми заметили неладное: их внимание привлекло то, что описание игры и кадры из нее были явно скопированы из других проектов. Еще один подозрительный признак —разработчик предлагал скачать установщик демоверсии из внешнего репозитория на GitHub, а не из Steam.

Дальнейшее изучение кода установщика пользователями Reddit привело их к обнаружению подозрительного ПО, спрятанного внутри. Похоже на то, что создатели Sniper: Phantoms Resolution, как и авторы PirateFi, охотились за доступом к онлайн-аккаунтам жертв. После сообщений пользователей GitHub и Steam достаточно быстро удалили вредоносную игру со своих площадок.

Игра Sniper: Phantoms Resolution распространялась через Steam с установщиком, содержавшим вредоносное ПО, и была удалена после жалоб пользователей. Источник

Третий случай, с игрой под названием Chemia от Aether Forge Studios, имеет несколько отличий. Тут была заражена бета-версия легитимной игры. Исследователи кибербезопасности считают, что за атакой стоит хакерская группировка EncryptHub, также известная как Larva-208.

Неизвестно, как именно злоумышленники смогли добавить в игру вредоносное ПО, однако пользователи, запустившие плейтест Chemia, активировали скачивание на свое устройство двух инфостилеров. Оба зловреда работали в фоновом режиме и не влияли на игровой процесс, поэтому геймеры не замечали заражение системы.

Вместе с плейтестом Chemia в Steam распространялись инфостилеры, работавшие в фоновом режиме и похищавшие данные из браузеров. Источник

Злоумышленники охотились за данными, хранящимися в веб-браузерах, включая сохраненные пароли, информацию автозаполнения, куки-файлы и данные криптовалютных кошельков. На момент написания этого поста игра была недоступна в Steam, однако ни платформа, ни разработчик игры не выступили с официальными заявлениями.

Вредоносные скины на официальном сайте Minecraft

Иногда опасности подстерегают геймеров не только в Steam, но и на сайтах самих разработчиков игр, в том числе очень крупных. Так, в 2018 году около пятидесяти тысяч игроков Minecraft оказались жертвами злоумышленников, которые разместили на официальном сайте Minecraft вредоносные скины. На этом ресурсе есть система взаимодействия фанатов, где любой игрок может делиться созданными им скинами с другими геймерами, чем и воспользовались атакующие.

Те самые вредоносные скины для Minecraft, которые могли отформатировать жесткий диск и удалить системные программы. Источник

Зловредное ПО распространялось через PNG-файлы скинов и было способно удалять программы, форматировать жесткие диски и уничтожать данные резервных копий. Необычная деталь — часть пострадавших получили странные сообщения с темами вроде:

• "Тыпопался, купиновыйкомпьютер, этот — кусокд*рьма" (You Are Nailed, Buy A New Computer This Is A Piece Of Sh*t);
• "Тыисчерпаллимитинтернетанавсюжизнь" (You have maxed your internet usage for a lifetime);
• "Твояз**ницазаклеена" (Your a** got glued).

При этом характер вредоносного кода заставил специалистов предполагать, что за его распространением стоят не профессиональные киберпреступники. Однако, несмотря на это, случай с распространением вредоносного ПО через официальный сайт Minecraft наглядно показал уязвимость механизмов для взаимодействия между фанатами игр.

Как не стать жертвой

Устанавливать игры, моды, скины и другое геймерское ПО, загруженные на официальных ресурсах, безусловно, безопаснее, чем "пиратить" их из сомнительных источников. Однако, как мы показали в этом посте, с легитимными сайтами также стоит быть начеку.

• Внимательно читайте отзывы перед скачиванием любых игр и различного геймерского ПО и проводите небольшое исследование. Простой поиск по названию игры может привести вас на форум в Reddit, где обсуждаются ее подозрительные свойства.
• Относитесь с осторожностью к играм в раннем доступе в Steam. Три вредоносных игры за один год — это уже тенденция.
• Установите на свое устройство надежную защиту.

К последнему совету многие геймеры могут отнестись скептически — в игровой среде до сих пор распространен стереотип, что антивирусы тормозят игры. Это могло быть правдой много лет назад, но, как показывают тесты, сейчас современные защитные решения не дают никакой регистрируемой просадки производительности.

А в Kaspersky Premium есть даже специальный игровой режим. Он включается автоматически при запуске игры и откладывает обновление антивирусных баз, показ уведомлений и регулярные проверки диска до ее окончания, снижая потребление ресурсов компьютера до минимума.

Как еще злоумышленники атакуют геймеров? Читайте в подборке:

• Стилер Arcane вместо читов для Minecraft
• Хак в прямом эфире: взлом кибертурнира по Apex Legends
• Как злоумышленники атакуют детей и подростков в играх
• Super Mario и супермайнеры: игра со встроенными зловредами
• Игровая угроза: как атакуют геймеров разных возрастов

18.09.2025