Introdução
O RPG gacha free-to-play Duet Night Abyss, na última atualização, acabou sendo explorado por hackers para entregar um malware aos jogadores: no caso, um trojan chamado Umbral Stealer, capaz de registrar teclas pressionadas pelo usuário e gravar conteúdo pela webcam, bem como capturas de tela, credenciais e roubar criptomoedas.
O incidente ocorreu na última quarta-feira (18), e foi resolvido rapidamente. Como pedido de desculpas, a equipe responsável pelo game, Pan Studio, ofereceu loot boxes que dão "gacha pulls": jogos gacha são basicamente caça-níqueis, e cada "pull" é como puxar a alavanca da roleta de uma máquina física do tipo.
O hack em Duet Night Abyss
Nas páginas da Steam e do X (antigo Twitter) do Pan Studio, a equipe se desculpou pelo incidente de cibersegurança, afirmando que, após consertar o problema, houve uma revisão completa do caso, que também ganhou um sumário de segurança. Segundo a linha do tempo publicada, o malware surgiu cerca de 24 minutos após a atualização ter ido para o ar.
Cerca de duas horas e meia após a infecção, a equipe atualizou o jogo novamente com a correção do problema. O malware em questão é, especificamente, Trojan:MSIL/UmbralStealer.DG!MTB, o que, para os desenvolvedores, foi positivo, já que se trata de um vírus antigo, de 2023.
Consertar a brecha foi fácil e, segundo a equipe, os "acordou" para problemas de segurança do produto. O fato de que o malware é antigo também ajudou o lado dos usuários: o antivírus de vários jogadores já quarentenou o arquivo automaticamente após a instalação.
Resposta e compensação
Para se desculpar com os jogadores, o Pan Studio ofereceu 15 recompensas: são 5 cópias do Commission Manual: Volume III, que melhora recompensas de quests Covert Commissions, e 10 da Prismatic Hourglasses, que equivalem a 10 gacha pulls grátis.
Para pegar os itens, basta desbloquear a função de Correio (Mail) do jogo até a próxima quinta-feira, dia 26 de março. Os desenvolvedores ainda pediram paciência aos jogadores à medida que a segurança do título é atualizada.
Implicações para a indústria de jogos
Este incidente destaca os riscos de segurança em jogos free-to-play e atualizações frequentes. A entrega de malware através de atualizações de jogos, mesmo que temporária, pode comprometer a confiança dos usuários e expor dados sensíveis.
Para CISOs e equipes de segurança, é crucial monitorar a cadeia de suprimentos de jogos e garantir que atualizações sejam assinadas e verificadas antes da distribuição. A resposta rápida da Pan Studio, embora compensatória, não substitui a necessidade de auditorias de segurança proativas.
O que os CISOs devem fazer imediatamente
- Auditoria de Jogos Corporativos: Verificar se jogos instalados em dispositivos corporativos podem ser vetores de infecção.
- Monitoramento de Atualizações: Garantir que atualizações de software, incluindo jogos, venham de fontes oficiais e verificadas.
- Educação do Usuário: Alertar funcionários sobre riscos de baixar jogos ou atualizações de fontes não confiáveis.
- Resposta a Incidentes: Ter planos de resposta para casos de comprometimento via jogos ou aplicativos de entretenimento.