FBI vyšetřuje šíření viru prostřednictvím her na platformě Steam. Varuje před krádežemi dat

FBI jmenuje 7 her na Steamu, které od května 2024 do ledna 2026 sloužily jako nosiče malwaru schopného krást přihlašovací údaje, kryptopeněženky i citlivé soubory.

Zdroj fotografie: Pexels

Nejde o jednu nakaženou hru ani o jednorázový incident. Seattleská pobočka FBI zveřejnila formulář pro identifikaci obětí, ve kterém uvádí konkrétní seznam titulů: BlockBlasters, Chemia, Dashverse/DashFPS, Lampy, Lunara, PirateFi a Tokenova. Časové okno sahá téměř dva roky zpátky. Úřad teď aktivně hledá lidi, kterým tyto hry mohly způsobit škodu, a formulář je otevřený i pro české uživatele, protože v rozbalovacím poli Country figuruje přímo Czechia. Americká je vyšetřující autorita, ne okruh postižených.

Co přesně malware dělal a u kterých her to víme

Technické detaily nejsou veřejně dostupné ke všem sedmi titulům. Tři z nich ale bezpečnostní firmy rozebraly do hloubky:

• PirateFi — podle analýzy SECUINFRA Falcon Team distribuoval infostealer Vidar. Ten kradl uložená hesla z prohlížečů, session tokeny, data z kryptopeněženek a systémové informace. Jako řídicí kanál využíval mimo jiné Steam profil coby tzv. dead-drop resolver, elegantní trik, který maskoval komunikaci s útočníkovým serverem.
• BlockBlasters — G DATA v září 2025 popsala, jak škodlivý patch sbíral IP adresu, polohu, údaje ze Steam přihlášení (SteamID, AccountName, příznak RememberPassword) a vše odesílal na konkrétní C2 server. Odhady mluví o stovkách zasažených hráčů a škodě přes 3,5 milionu korun.
• Chemia — Malwarebytes popsal kompromitaci z července 2025, kdy vedle samotné hry běžel downloader doručující hned tři malwarové rodiny: Fickle Stealer, HijackLoader a Vidar. Kradl hesla z prohlížečů, detaily peněženek i další citlivé soubory.

U zbývajících čtyř titulů (Dashverse/DashFPS, Lampy, Lunara a Tokenova) FBI technický rozbor veřejně nepopsala. Víme jen, že je vyšetřování zařadilo na stejný seznam.

Jak se virus dostal přes kontrolu Valve

Tady je klíčový detail, který z titulků obvykle vypadne. Valve podle vlastní Steamworks dokumentace kontroluje build hry před jejím prvním vydáním. Jenže po schválení může vývojář hru aktualizovat bez nové povinné revize. A přesně tohle útočníci využili.

U BlockBlasters přišel malware jako pozdější patch. U Chemia byl škodlivý kód přibalený k aktualizovanému buildu. Hráč si stáhl hru, která prošla kontrolou čistá, a teprve následný update do ní propašoval stealer. Valve tedy „nic nepřehlédlo“ v klasickém smyslu. Problém je systémový: model „schválit jednou, pak aktualizovat průběžně“ vytváří prostor pro zneužití. A útočníci ho našli.

Valve přitom na incidenty reagovalo. PirateFi stáhlo z obchodu 10. února 2025 a rozeslalo varování uživatelům, kteří hru spustili v době aktivního malwaru. BlockBlasters je podle SteamDB rovněž nedostupný. U ostatních titulů ale centrální veřejný přehled stažených her chybí.

Jsem v ohrožení? Praktický návod

Rozhodující je, zda jste některou z her spustili, ne jen vlastnili v knihovně. Ve všech veřejně doložených případech se malware aktivoval při spuštění nebo hraní. Samotné vlastnictví titulu v účtu bez instalace a spuštění podle dostupných zdrojů k infekci nestačí. Pokud si ale nejste jistí, bezpečnější je počítat s rizikem.

Co udělat:

• Porovnejte seznam FBI se svou knihovnou. Historii nákupů a aktivací najdete ve Steam Support pod „Recent Purchases“. Hledejte přesná jména: BlockBlasters, Chemia, Dashverse, DashFPS, Lampy, Lunara, PirateFi, Tokenova.
• Spusťte kompletní antimalwarový scan. Valve u PirateFi doporučovalo zvážit i úplné přeinstalování systému. Malwarebytes u Chemia radí plný scan. Důležité: scan i změnu hesel provádějte ideálně z jiného, čistého zařízení, protože popsaný malware kradl právě přihlašovací údaje a session tokeny.
• Změňte hesla a odhlaste aktivní relace. Nejen ke Steamu, ale ke všem účtům, jejichž přihlašovací údaje jste měli uložené v prohlížeči na napadeném počítači. Kryptopeněženky zkontrolujte na neautorizované transakce.
• Nahlaste se FBI i v Česku. Formulář FBI je otevřený mezinárodně. Český ekvivalent pro hlášení kyberkriminality nabízí Policie ČR, byť nejde o formulář specifický pro tento případ.

Proč je tohle důležitější, než se zdá

Formulář FBI obsahuje jednu nenápadnou, ale výmluvnou položku: ptá se, zda oběť někdo kontaktoval přes Discord, Telegram, Snapchat nebo telefon, a to před stažením hry i po něm. To naznačuje, že součástí kampaně nebylo jen pasivní čekání, až si někdo hru najde v obchodě. Útočníci zřejmě aktivně naváděli oběti ke stažení prostřednictvím sociálního inženýrství.

Celkový počet postižených FBI nezveřejnila. U samotného BlockBlasters Tom’s Hardware cituje odhady 261 až 478 obětí. Napříč všemi sedmi hrami a téměř dvouletým obdobím bude reálné číslo pravděpodobně výrazně vyšší, a právě proto FBI formulář stále sbírá data.

Nejde o důkaz, že je Steam jako platforma „děravý“. Jde o důkaz, že i důvěryhodný obchod s miliardovým dosahem může selhat ve chvíli, kdy se schválený titul nebo jeho aktualizace promění v distribuční kanál pro krádež dat. A to je lekce, která si zaslouží pozornost nejen amerických, ale i českých hráčů.