Un jeu gratuit sur Steam s’est révélé être un crypto-drainer sophistiqué. Derrière l’apparence rétro, BlockBlasters a ciblé directement les portefeuilles numériques des joueurs.
La plateforme Steam a de nouveau servi de vecteur à un logiciel malveillant. Le jeu gratuit BlockBlasters, diffusé par Genesis Interactive, a été infecté un mois après sa sortie par un module conçu pour voler identifiants et cryptomonnaies. L’affaire a éclaté quand un streamer letton, engagé dans un live caritatif, a perdu plus de 32 000 $. L’onde de choc a mobilisé la communauté crypto, qui a partiellement compensé la perte. Selon les chercheurs, plusieurs centaines de comptes auraient été touchés pour un préjudice proche de 150 000 $ (140 400 €).
Un faux jeu devenu cheval de Troie
BlockBlasters est apparu le 30 juillet sur Steam. Présenté comme un jeu rétro gratuit, il a d’abord fonctionné sans incident. Mais un mois plus tard, le 30 août, une mise à jour a injecté un composant malveillant. Ce code transformait l’application en crypto-drainer, capable d’aspirer données d’accès et fonds numériques. Jusqu’à son retrait le 21 septembre, le titre a conservé une façade de légitimité, accumulant des centaines d’avis « très positifs » comme le montre ZATAZ ci-dessous. Cette dissimulation volontaire a prolongé l’exposition des joueurs à un risque massif.
Le scandale a éclaté publiquement lorsqu’un streamer letton, Raivo Plavnieks, connu sous le pseudonyme RastalandTV, a vu ses portefeuilles numériques vidés en direct. Alors qu’il organisait un marathon caritatif pour soutenir un traitement contre une sarcome de stade 4, il a installé BlockBlasters depuis Steam, persuadé de sa fiabilité. Peu après, il a constaté la disparition de plus de 32 000 $ (29 960 €). L’émotion a été immédiate : une partie des pertes a été compensée par sa communauté et des acteurs du secteur crypto. Parmi eux, l’influenceur Alex Becker, qui a transféré 32 500 $ (30 430 €) pour soutenir le streamer frappé par l’attaque.
Une opération structurée mais maladroite
Les analyses menées par le chercheur ZachXBT estiment le préjudice global à 150 000 $ (≈ 140 400 €) sur 261 comptes Steam. Le collectif VXUnderground avance de son côté un total de 478 victimes, et a publié une liste de pseudonymes tout en appelant à changer d’urgence mots de passe et identifiants. Les indices laissent penser que les pirates ciblaient des profils disposant de fortes réserves en cryptomonnaie, qu’ils approchaient via Twitter en envoyant des invitations à télécharger le jeu. Les outils utilisés mêlaient batch-scripts pour siphonner des identifiants Steam, backdoor Python et module StealC. Mais les attaquants ont commis une erreur majeure d’opsec : ils ont laissé en clair les jetons d’accès de leur bot Telegram, ce qui pourrait faciliter leur identification.
