Un simple parche convirtió a BlockBlasters en una trampa digital dentro de Steam.
G DATA Security Lab (Virus-Analyst Team) revela cómo un parche disfrazado permitió la distribución de malware que roba datos —incluidas extensiones de navegador y carteras de criptomonedas— y pudo afectar a cientos de jugadores.
Qué pasó
Por: Análisis de Arvin Lauren Tan para G DATA Security Lab (Virus-Analyst Team)
El lanzamiento original del platformer 2D BlockBlasters, desarrollado por Genesis Interactive, tuvo buena recepción tras su estreno el 31 de julio de 2025. Sin embargo, el 30 de agosto de 2025 la versión del juego recibió una actualización (Build 19799326) que, según el análisis de G DATA, incluía archivos con comportamientos maliciosos detectados por G DATA MXDR. Tras la detección, la ficha del juego fue marcada como “suspicious” en SteamDB y BlockBlasters fue retirado de Steam poco antes de que esta nota saliera a la luz.
Resumen técnico (lo que hace el malware)
El paquete malicioso despleado con el parche actúa en varias etapas claramente orquestadas. A grandes rasgos:
Etapa 1 — “game2.bat”: un archivo por lotes (batch) que realiza acciones típicas de un trojan stealer:
- Consulta la IP y la geolocalización del equipo mediante servicios web públicos (por ejemplo, sitios tipo
ipinfo[.]ioyip[.]me). - Detecta procesos asociados a soluciones de seguridad instaladas en el sistema buscando nombres de procesos de AV comunes.
- Recolecta información de sesión de Steam —como SteamID, AccountName, PersonaName y el flag RememberPassword— almacenando esos datos capturados.
- Sube la información recogida a un servidor de comando y control (C2) en
hxxp://203[.]188[.]171[.]156:30815/upload. - Lanza scripts VBS (
launch1.vbsytest.vbs) y, si detecta que sólo corre Microsoft Defender (sin otras soluciones AV listadas), extrae y ejecuta un archivo protegido por contraseña contenido env1.zip(contraseña:121). El uso de archivos ZIP con contraseña busca evitar la detección durante la descarga.
Etapa 2 — Loaders VBS: los scripts Launch1.vbs y Test.vbs actúan como lanzadores para otros batch files:
- Launch1.vbs ejecuta
1.bat. - Test.vbs ejecuta
test.bat.
Ambos invisibilizan la consola (cmd.exeoculta) y no esperan la finalización del proceso, permitiendo que la operación siga en segundo plano.
Etapa 3 — Payloads principales y persistencia:
test.batextrae información sobre extensiones de navegador y datos de carteras criptográficas presentes en el sistema, y envía esos datos al C2.1.batañade la carpeta destino del ejecutable del juego a la lista de exclusiones de Microsoft Defender:Drive:\SteamLibrary\steamapps\common\BlockBlasters\Engine\Binaries\ThirdParty\Ogg\cwe\. Con esa exclusión activa, descomprime otro ZIP protegido (v3.zip, contraseña:121, SHA256:58a97ab524b704172a8f68fda92daa802b706e397adede410b6475a4eb229c9b) y ejecuta su contenido; a continuación ejecuta el ejecutable legítimo del juego para camuflar la actividad maliciosa.- El script comprueba si hay un proceso de Steam en ejecución para confirmar que el juego se lanzó correctamente; si no lo encuentra, busca la carpeta de instalación con PowerShell y manda un reporte de error al C2 (
hxxp://203[.]188[.]171[.]156) e incluso vuelve a consultar la IP pública para actualizar la telemetría del atacante.
Payloads identificados (qué se dejó caer)
Los archivos maliciosos extraídos en el sistema contienen dos componentes principales:
- Backdoor:
Client-built2.exe— un ejecutable compilado a partir de un instalador en Python que se conecta al C2 usando una clase denominadaRemoteControlClient.- SHA256:
17c3d4c216b2cde74b143bfc2f0c73279f2a007f627e3a764036baf272b4971a - Clasificación: Win64.Backdoor.StimBlaster.L6WGC3 (según el informe)
- SHA256:
- Stealer:
Block1.exe— ejecutable Win64 en C++ con empaquetado y cifrado característico de StealC; su función es buscar y extraer credenciales/estados de navegadores y wallets. Entre las rutas objetivo que intenta leer están:- Google Chrome:
\\Google\\Chrome\\User Data\\Local State - Brave:
\\BraveSoftware\\Brave-Browser\\User Data\\Local State - Microsoft Edge:
\\Microsoft\\Edge\\User Data\\Local State - SHA256:
59f80ca5386ed29eda3efb01a92fa31fb7b73168e84456ac06f88fdb4cd82e9e - Clasificación: Win32.Trojan-Stealer.StealC.RSZPXF
- Google Chrome:
Articulación entre archivos y pruebas (IOCs)
G DATA detalla los hashes y detecciones para facilitar la detección y remediación:
game2.bat—aa1a1328e0d0042d071bca13ff9a13116d8f3cf77e6e9769293e2b144c9b73b3— BAT.Trojan-Stealer.StimBlaster.Flaunch1.vbs—c3404f768f436924e954e48d35c27a9d44c02b7a346096929a1b26a1693b20b3— Script.Malware.BatchRunner.A@ioctest.vbs—b2f84d595e8abf3b7aa744c737cacc2cc34c9afd6e7167e55369161bc5372a9b— Script.Malware.BatchRunner.A@ioc1.bat—e4cae16e643a03eec4e68f7d727224e0bbf5415ebb0a831eb72cb7ff31027605— BAT.Trojan-Stealer.StimBlaster.I@ioctest.bat—3766a8654d3954c8c91e658fa8f8ddcd6844a13956318242a31f52e205d467d0— BAT.Trojan-Stealer.StimBlaster.JClient-built2.exe—17c3d4c216b2cde74b143bfc2f0c73279f2a007f627e3a764036baf272b4971a— Win64.Backdoor.StimBlaster.L6WGC3Block1.exe—59f80ca5386ed29eda3efb01a92fa31fb7b73168e84456ac06f88fdb4cd82e9e— Win32.Trojan-Stealer.StealC.RSZPXF
Además, los archivos v1.zip y v3.zip (ambos protegidos con la contraseña 121) están vinculados a las etapas de despliegue y a los SHA256 (v3.zip: 58a97ab524b704172a8f68fda92daa802b706e397adede410b6475a4eb229c9b).
Alcance y telemetría
Según registros históricos y telemetría consultada por G DATA en sitios de seguimiento de actividades de Steam como SteamDB y Gamalytic, en el momento del reporte el juego tenía un promedio de 1–4 jugadores activos y acumulaba más de 100 descargas desde el despliegue del parche malicioso. Es decir: aunque no se trate de un título masivo, la campaña llegó a infectar a decenas o cientos de equipos potenciales.
Reacción pública y un caso concreto
- SteamDB marcó la entrada del juego como “suspicious”.
- BlockBlasters fue removido de Steam antes de la publicación de este informe.
- Hay reportes de, al menos, una transmisión en vivo donde un streamer quedó infectado en directo durante una recaudación para tratamiento oncológico; ese evento fue señalado por el usuario vx-underground en X, y sirve como recordatorio de que el daño es personal y económico, no solo técnico.
Contexto más amplio: no es un caso aislado
El caso de BlockBlasters se inserta en una tendencia observada en 2025: varios juegos distribuidos por plataformas populares han sido vectores de infección. Ejemplos recientes citados en el análisis incluyen PirateFi, un free-to-play que venía acompañado de un stealer de información, y Chemia, un título en Early Access que fue comprometido por un actor conocido como EncryptHub mediante la inyección de binarios maliciosos. En todos estos eventos los atacantes sortearon controles iniciales de seguridad de Valve para desplegar parches o archivos maliciosos.
Recomendaciones prácticas (qué deben hacer los jugadores afectados o en riesgo)
- Desconectar el equipo de Internet si sospechas que fuiste afectado y no sabes si el malware aún está activo.
- No usar claves privadas de wallets que estuvieron en el mismo equipo; mueve fondos a direcciones frías o a wallets nuevas creadas en un dispositivo seguro. Si usas custodial exchanges, contacta al soporte.
- Cambiar contraseñas y habilitar 2FA (con aplicaciones de autenticación) para cuentas críticas (correo, plataformas de intercambio, cuentas Steam vinculadas).
- Escanear con herramientas antimalware actualizadas (preferiblemente usando soluciones reconocidas además del antivirus por defecto) y buscar indicadores de compromiso listados arriba (hashes y nombres de archivos).
- Verificar procesos y exclusiones en Microsoft Defender y otras soluciones: revisa que no se hayan añadido exclusiones sospechosas para carpetas dentro de
steamapps\common\BlockBlasters\…u otras rutas de Steam. - Restaurar desde copia confiable o reinstalar sistema si se confirma persistencia del backdoor.
- Reportar el incidente a la plataforma de distribución (en este caso, Steam/Valve) y a foros/servicios de inteligencia sobre amenazas para ayudar a contener la campaña.
- Si crees que fuiste víctima de robo de fondos, conserva evidencia (logs, capturas, nombres de archivos y hashes) y comunícalo a las autoridades locales o al equipo de respuesta a incidentes de tu país.
Por qué importa
Aunque el número absoluto de jugadores de BlockBlasters pueda parecer pequeño (según telemetría), el vector empleado —un parche legítimo distribuido por la propia plataforma de juego— demuestra que incluso títulos con base de usuarios reducida pueden convertirse en plataformas de distribución para malware muy dirigido. La estrategia de usar archivos ZIP protegidos por contraseña, modificar exclusiones de antivirus y ejecutar el ejecutable legítimo del juego como camuflaje es un patrón sofisticado que dificulta la detección temprana y maximiza la probabilidad de exfiltración de datos críticos como claves de wallets y credenciales.
Credenciales y autoría
Este informe se basa en el análisis técnico publicado por G DATA Security Lab (Virus-Analyst Team), con análisis principal realizado por Arvin Lauren Tan. Las referencias de telemetría incluyen consultas a SteamDB y Gamalytic; la denuncia pública de un caso de infección en streaming fue señalada por el usuario vx-underground en X.
Indicadores de compromiso
[1] Game2.bat
aa1a1328e0d0042d071bca13ff9a13116d8f3cf77e6e9769293e2b144c9b73b3
BAT.Trojan-Stealer.StimBlaster.F
[2] Launch1.vbs
c3404f768f436924e954e48d35c27a9d44c02b7a346096929a1b26a1693b20b3
Script.Malware.BatchRunner.A@ioc
[3] Test.vbs
b2f84d595e8abf3b7aa744c737cacc2cc34c9afd6e7167e55369161bc5372a9b
Script.Malware.BatchRunner.A@ioc
[4] 1.bat
e4cae16e643a03eec4e68f7d727224e0bbf5415ebb0a831eb72cb7ff31027605
BAT.Trojan-Stealer.StimBlaster.I@ioc
[5] Test.bat
3766a8654d3954c8c91e658fa8f8ddcd6844a13956318242a31f52e205d467d0
BAT.Trojan-Stealer.StimBlaster.J
[6] Client-built2.exe
17c3d4c216b2cde74b143bfc2f0c73279f2a007f627e3a764036baf272b4971a
Win64.Backdoor.StimBlaster.L6WGC3
[7] Block1.exe
59f80ca5386ed29eda3efb01a92fa31fb7b73168e84456ac06f88fdb4cd82e9e
Win32.Trojan-Stealer.StealC.RSZPXF
FUENTE: G DATA CyberDefense
