Mã độc trên Steam gây thiệt hại lớn, FBI kêu gọi game thủ hỗ trợ điều tra
Một chiến dịch phát tán mã độc tinh vi thông qua nền tảng phân phối game Steam đang khiến cộng đồng game thủ quốc tế chấn động. Theo thông tin được công bố, Cục Điều tra Liên bang Mỹ (FBI) đã phát đi cảnh báo khẩn và kêu gọi những người từng tải các tựa game nghi nhiễm mã độc trong giai đoạn từ 2024 đến đầu năm 2026 chủ động cung cấp thông tin để phục vụ điều tra.
Sự việc cho thấy ngay cả những nền tảng uy tín cũng không hoàn toàn miễn nhiễm trước các cuộc tấn công an ninh mạng ngày càng tinh vi.
Mã độc ẩn trong game miễn phí
Theo FBI chi nhánh Seattle, các nhóm tấn công đã lợi dụng cơ chế phát hành game trên Steam để đưa mã độc vào những tựa game tưởng chừng vô hại. Những trò chơi này phần lớn là game miễn phí hoặc ít tên tuổi, khiến người dùng dễ dàng tải về máy tính mà không kiểm tra kỹ.
Danh sách các tựa game bị xác định có liên quan bao gồm:
- BlockBlasters
- Chemia
- Dashverse / DashFPS
- Lampy
- Lunara
- PirateFi
- Tokenova
Trong số này, PirateFi được xác định là một trong những trường hợp nguy hiểm nhất. Ngay sau khi phát hành trên Steam, trò chơi này đã bị phát hiện chứa mã độc có khả năng đánh cắp thông tin đăng nhập và cookie trình duyệt, cho phép tin tặc chiếm quyền truy cập tài khoản của người dùng.
Các chuyên gia nhận định đây không phải là các cuộc tấn công ngẫu nhiên, mà là chiến dịch có tổ chức, được thiết kế để nhắm vào người dùng phổ thông thông qua tâm lý “tải game miễn phí”.
Thiệt hại thực tế lên tới hàng trăm ngàn USD
Một trong những vụ việc gây chú ý nhất liên quan đến tựa game BlockBlasters. Trò chơi này được phát hành trên Steam vào tháng 7.2025, nhưng chỉ sau một thời gian ngắn, mã độc dạng cryptodrainer đã được âm thầm tích hợp vào mã nguồn.
Loại mã độc này chuyên đánh cắp tiền điện tử bằng cách truy cập ví crypto lưu trên trình duyệt, đánh cắp khóa truy cập hoặc cookie đăng nhập, chuyển tài sản về ví của kẻ tấn công mà người dùng khó phát hiện.
Nạn nhân tiêu biểu là streamer Raivo Plavnieks (RastalandTV). Trong khi đang livestream gây quỹ điều trị ung thư giai đoạn cuối, anh đã bị đánh cắp hơn 32.000 USD chỉ sau khi tải trò chơi.
Theo báo cáo, tổng thiệt hại đã được ghi nhận lên tới hơn 150.000 USD, ảnh hưởng đến ít nhất 261 tài khoản c. Con số thực tế có thể còn cao hơn do nhiều nạn nhân chưa lên tiếng.
Vì sao người dùng dễ bị tấn công?
Steam là một trong những nền tảng phân phối game lớn nhất thế giới, với hàng triệu người dùng và hàng chục nghìn tựa game. Tuy nhiên, chính quy mô lớn này lại tạo ra kẽ hở cho các đối tượng xấu lợi dụng.
Một số nguyên nhân khiến người dùng dễ trở thành nạn nhân:
- Tin tưởng nền tảng: nhiều người cho rằng game trên Steam luôn an toàn.
- Tải game miễn phí: người dùng ít kiểm tra kỹ nguồn gốc.
- Bỏ qua cảnh báo bảo mật: cài đặt nhanh mà không đọc quyền truy cập.
- Lưu thông tin nhạy cảm trên trình duyệt: ví crypto, tài khoản, cookie đăng nhập.
Ngoài ra, các mã độc hiện nay ngày càng tinh vi, có thể ẩn mình trong game hợp pháp mà không bị phát hiện ngay lập tức.
FBI vào cuộc điều tra quy mô lớn
FBI cho biết việc xác định danh sách nạn nhân là bước quan trọng trong quá trình điều tra. Điều này không chỉ giúp truy vết các nhóm tấn công mà còn đảm bảo người bị hại có thể nhận được hỗ trợ pháp lý và bồi thường theo quy định.
Cơ quan này kêu gọi bất kỳ ai từng tải hoặc chơi các tựa game nằm trong danh sách trên nên điền thông tin vào biểu mẫu nạn nhân trên website chính thức của FBI hoặc liên hệ trực tiếp qua email: Steam_Malware@fbi.gov
FBI cũng cam kết toàn bộ thông tin cá nhân của người cung cấp sẽ được bảo mật tuyệt đối.
Lời cảnh báo cho cộng đồng game thủ
Sự việc lần này được xem là một hồi chuông cảnh tỉnh đối với cộng đồng game thủ toàn cầu. Trong bối cảnh game kỹ thuật số ngày càng phổ biến, ranh giới giữa phần mềm hợp pháp và mã độc ngày càng khó phân biệt.
Ngay cả trên những nền tảng lớn và uy tín như Steam, người dùng vẫn cần giữ thói quen bảo mật cơ bản:
- Kiểm tra kỹ thông tin nhà phát triển trước khi tải game
- Đọc đánh giá từ cộng đồng
- Không lưu thông tin nhạy cảm trên trình duyệt
- Sử dụng xác thực hai lớp (2FA) cho tài khoản
- Hạn chế tải các bản demo hoặc game ít người biết đến.
Khi “một cú click” có thể trả giá đắt
Những vụ việc như BlockBlasters hay PirateFi trên Steam cho thấy chỉ một lần tải nhầm game cũng có thể khiến người dùng mất trắng tài sản số trong tích tắc.
Trong kỷ nguyên số, nơi tài khoản và dữ liệu cá nhân gắn liền với giá trị tài chính thực, việc cảnh giác không còn là lựa chọn mà đã trở thành điều bắt buộc.
