بدأ مكتب التحقيقات الفيدرالي الأمريكي (FBI)، من خلال فرعه في مدينة سياتل، تحقيقات رسمية تهدف إلى حصر وتحديد المستخدمين الذين قاموا بتثبيت مجموعة من الألعاب عبر منصة Steam، وذلك بعد تأكيد احتواء ملفاتها على برمجيات خبيثة مدمجة. وتشير البيانات التقنية إلى أن هذه الحملة الإجرامية استمرت في نشاطها خلال الفترة الممتدة من مايو 2024 حتى يناير 2026، حيث استهدفت بشكل مباشر الاستيلاء على الحسابات الشخصية والأصول الرقمية للمتضررين.
وفي إطار جمع الأدلة، أتاح المكتب نموذجاً إلكترونياً مخصصاً لاستقبال إفادات الضحايا أو الأشخاص الذين يمتلكون معلومات تقنية حول القضية، مع التأكيد على أن المشاركة تجري بصفة طوعية وتخضع لضمانات السرية التامة لهوية المبلغين. ويشمل نطاق التحقيق قائمة محددة من العناوين الرقمية التي ثبت ضلوعها في نشر البرمجيات الضارة، وهي ألعاب BlockBlasters وChemia وDashverse وDashFPS وLampy وLunara وPirateFi وTokenova.
ويكشف سياق الإخطار الرسمي أن العمليات الإجرامية لم تقتصر على إصدار واحد، بل امتدت لتشمل عدة عناوين جرى استغلالها كغطاء لتنفيذ عمليات اختراق واسعة النطاق. ويركز المحققون في الوقت الراهن على تتبع حالات سرقة العملات المشفرة والوصول غير المصرح به إلى حسابات المستخدمين الذين قاموا بتحميل هذه الألعاب وتثبيتها على أجهزتهم الشخصية خلال الفترة الزمنية المرصودة.
استغلال موثوقية المنصات الرقمية لتنفيذ عمليات سرقة الأصول والمحافظ
تكتسب هذه القضية أهمية بالغة في أوساط الأمن السيبراني نظراً لآلية التنفيذ التي اعتمدت على استغلال السمعة القوية لمنصة Steam كقناة توزيع رقمية موثوقة لدى ملايين المستخدمين حول العالم. يمنح استخدام هذه المنصة كأداة لإيصال برمجيات سرقة المعلومات الحادثة أبعاداً أمنية معقدة، إذ يتلقى المستخدم التهديد عبر مصدر يفترض فيه الأمان بشكل طبيعي، لتقليل احتمالات الحذر المعتادة تجاه البرمجيات المجهولة.
وتكشف استمارة التحقيق الخاصة بمكتب التحقيقات الفيدرالي عن اهتمام تقني دقيق بتفاصيل المعاملات المالية المشبوهة، وطبيعة الحسابات المخترقة، وحجم الأموال التي جرى سحبها. كما يركز المحققون على توثيق لقطات الشاشة لأي تواصل جرى مع جهات روجت لهذه الألعاب، لتأكيد التعامل مع الواقعة كنشاط إجرامي منظم يهدف إلى استدراج الضحايا ثم الاستيلاء على بياناتهم.
وأظهرت التقارير الفنية أن الهجمات استهدفت الوصول إلى بيانات شديدة الحساسية تشمل ملفات تعريف الارتباط، وبيانات المتصفح، بالإضافة إلى بيانات الاعتماد، ومفاتيح محافظ العملات المشفرة. وتسمح هذه المعلومات للجهات المهاجمة بتوسيع نطاق الاختراق عبر السيطرة الكاملة على الحسابات، أو استغلال الجلسات النشطة لتجاوز تدابير الحماية المعتادة، وتنفيذ تحويلات مالية غير مشروعة من المحافظ الرقمية للضحايا.
ويعكس هذا الأسلوب المتبع تطوراً ملحوظاً في استراتيجيات المهاجمين الذين يسعون لتحويل بيئات الترفيه الرقمي إلى ساحات نشطة لجمع البيانات المالية والشخصية. ويشير الاعتماد على برمجيات سرقة المعلومات ضمن ألعاب الفيديو إلى تحول في أنماط الاستهداف، حيث يتم استغلال الثقة في المتاجر الرقمية الكبرى لتنفيذ عمليات اختراق تقنية ومالية معقدة يصعب اكتشافها في مراحلها الأولى.
الارتباط ببرمجيات خبيثة معروفة وتصاعد الخسائر المالية للمستخدمين
ارتبطت بعض الألعاب الواردة في التحقيق بوقائع سابقة ومحددة، منها لعبة PirateFi التي أزالتها شركة Valve من متجر Steam في فبراير 2025 نتيجة الاشتباه في وجود ملفات ضارة. وقد وجهت الشركة حينها تحذيرات للمستخدمين بضرورة فحص أنظمتهم واستخدام برمجيات موثوقة لمكافحة الفيروسات، مع تقديم مقترحات تصل إلى إعادة تهيئة نظام التشغيل لضمان التخلص التام من أي بقايا تقنية للمكونات الخبيثة.
وفي السياق ذاته، رصدت تقارير من منصات متخصصة ارتباط لعبة Chemia بتحميل برمجيات ضارة معروفة مثل HijackLoader وVidar، إلى جانب أدوات سرقة مخصصة منسوبة لمجموعة EncryptHub. أما فيما يتعلق بلعبة BlockBlasters، فتشير المعطيات إلى تواجدها على المنصة بين يوليو وسبتمبر 2024، حيث جرى رفع نسخة سليمة في البداية قبل دمج برمجية مخصصة لتصريف الأصول الرقمية ضمن تحديثات لاحقة.
وتسببت هذه اللعبة في خسائر مالية موثقة، حيث أعلن أحد منشئي المحتوى عن فقدان أصول مشفرة تتجاوز قيمتها 32 ألف دولار أمريكي بعد استخدامه للعبة. ورغم أن مكتب التحقيقات الفيدرالي لم يكشف حتى الآن عن الهوية الكاملة للفاعلين أو التفاصيل التقنية للبنية التشغيلية للهجوم، فإن التحقيق يظل مفتوحاً لحصر كافة المتضررين وتتبع حركة الأموال المسروقة.
وتؤكد هذه التطورات أن الثقة المطلقة في المتاجر الرسمية تتطلب حذراً إضافياً عند التعامل مع تطبيقات غير معروفة، خاصة تلك المرتبطة بوعود مالية رقمية. ويعكس استمرار التحقيق ضرورة اليقظة التقنية تجاه التحديثات البرمجية التي قد تُستخدم كغطاء لدمج أدوات خبيثة بعد كسب ثقة المستخدمين والمنصات المضيفة على حد سواء.
