Raivo Plavnieks, zbieranie funduszy na streamę gier wideo na leczenie raka, stracił ponad 32 000 $ w kryptowalucie po pobraniu zagrożonej, zweryfikowanej gry o nazwie Blockblasters z platformy Steam. Opublikowana przez Genesis Interactive, Blockblasters była bezpłatną platformową platformówką 2D dostępną na Steamie od 30 lipca do 21 września. Gra, która zgromadziła setki „bardzo pozytywnych” recenzji, została zmieniona 30 sierpnia, kiedy dodano komponent kryptodrainer. Złośliwe oprogramowanie zostało odkryte po Plavnieks, streamer znany jako RastalandTV, pobrał zweryfikowaną grę podczas transmisji na żywo, aby zebrać fundusze na leczenie z wysokim stopniem sarma na etapie 4.
„Dla każdego, kto zastanawia się, co się dzieje z $ Cancer Live Stream … moje życie zostało zapisane przez całe 24 godziny, dopóki ktoś dostroił się do mojego strumienia i nie zmusił mnie do pobrania zweryfikowanej gry na @Steam”
Plavnieks stwierdził po kradzieży. Atak wyczerpał ponad 32 000 $ z portfela łotewskiego gracza kryptowaluty, wpływając na fundusze przeznaczone na jego opiekę medyczną. Oprócz swoich fundraiserów streamingowych, Plavnieks ustanowił kampanię GoFundMe w celu otrzymania darowizn, która miała 58% celów finansowych w momencie incydentu. Po publicznym ujawnieniu kradzieży, wpływowy Crypto Alex Becker potwierdził, że wysłał 32 500 $ na nowy, bezpieczny portfel dla Plavnieks, kwotę, która ma pokryć pełną sumę skradzioną. Zakres ataku wykraczał poza ten pojedynczy incydent. Badacz kryptograficzny Zachxbt poinformował Bleeping Computer, że sprawcy ukradli szacunkową liczbę 150 000 USD z 261 oddzielnych rachunków Steam. Grupa bezpieczeństwa VxUndGround, która monitorowała również złośliwą kampanię, udokumentowała wyższą liczbę ofiar, identyfikując 478 dotkniętych użytkowników. VXUNDERGROUND opublikował następnie listę zagrożonych nazw użytkowników i wydał ostrzeżenie publiczne wzywające wszystkie osoby na liście do natychmiastowego zresetowania haseł do konta, aby zapobiec dalszemu nieautoryzowanemu dostępowi. Badania nad atakiem wskazują, że ofiary nie zostały losowo wybrane. Raporty sugerują, że atakujący specjalnie ukierunkowane osoby po zidentyfikowaniu ich na Twitterze jako menedżerów znaczących zasobów kryptowalut. Użytkownicy ci zostali następnie przypuszczalnie wysłani bezpośrednich zaproszeń do wypróbowania gry Blockblasters. Raport techniczny naukowców wyszczególnił funkcję złośliwego oprogramowania, identyfikując skrypt wsadowy, który przeprowadził kontrole środowiska w systemie ofiary. Ten skrypt zebrał poświadczenia logowania Steam i adres IP użytkownika, przesyłając dane do serwera poleceń i kontroli. Dalsza analiza badacza GDATA Karsten Hahn udokumentowała użycie backdoora Pythona i ładowność kradzieży, które zostały wdrożone w połączeniu z kradzieżą partii. Podczas dochodzenia eksperci ds. Bezpieczeństwa zauważyli znaczną awarię bezpieczeństwa operacyjnego przez atakujących, którzy zostawili swój kod botowy i tokeny uwierzytelniania. Niepotwierdzone raporty ekspertów z wywiadu typu open source twierdzą, że główny aktor zagrożenia został zidentyfikowany jako argentyński imigrant mieszkający w Miami na Florydzie. Incydent na blokach jest jednym z kilku ostatnich przypadków złośliwego oprogramowania dystrybuowanych na Steamie, po podobnych atakach na początku roku obejmujące chemię gier, snajper: Phantom’s Resolution i Piratefi.
