Il furto di un account di solito si conclude con la perdita della password da parte di qualcuno. In questo caso, invece, hackers ne hackers portando via l’intero gioco.
Gli sviluppatori di alcuni dei milioni di giochi presenti su Roblox hanno raccontato a 404 Media che gli hacker li hanno convinti a eseguire un singolo file. Poche ore dopo, hanno visto il proprio gruppo, il proprio gioco e il proprio saldo di Robux (la valuta della piattaforma) sparire nel conto di qualcun altro. In diversi casi, l’assistenza di Roblox non li ha aiutati a recuperare i giochi finché un giornalista non ha contattato l’azienda per un commento.
Dal sorriso raggiante all’acquisizione ostile
In passato, gli attacchi su Roblox erano di natura opportunistica. I cosiddetti “beamer” prendevano di mira singoli giocatori per rubare cappelli rari, oggetti in edizione limitata e account, per poi rivenderli. Il modello è cambiato. I nuovi obiettivi sono gli account degli sviluppatori e il bottino è il gioco stesso.
Ioannis Matziaris ha raccontato a 404 Media che i suoi due figli ventenni hanno dedicato cinque anni alla creazione di un gioco su Roblox chiamato “The Shadow Network”. Ad aprile, alcuni hacker hanno contattato uno dei due con un’offerta di lavoro e lo hanno convinto ad aprire un determinato file. Si trattava di malware. Gli hacker hanno assunto il controllo del gioco, dell’account Roblox del gruppo e del loro saldo di Robux.
Un altro sviluppatore, Jovan Rai, ha ricevuto la stessa proposta di lavoro come project manager. Questa volta, gli autori dell’attacco si sono spacciati per Cheesy Studios, la società dei fratelli Matziaris, per conferire credibilità all’offerta. Il quindicenne guadagnava circa 10.000 Robux (circa 38 dollari) al giorno grazie al suo gioco. Ha trascorso più di 30 giorni cercando di recuperare i fondi tramite l’assistenza di Roblox, prima che l’attenzione dei media contribuisse a far progredire il caso.
Il malware all'origine del furto
Lo sviluppatore Mohamed Kaparoza ha descritto come ha funzionato l’attacco. Gli aggressori lo hanno contattato su Discord, gli hanno prospettato un ruolo di project manager e gli hanno chiesto di installare un pacchetto Python chiamato “robase”, che secondo loro era uno strumento per la gestione di database. Poco dopo l’installazione, è stato disconnesso da Roblox sia dal PC che dal telefono. Anche il suo account Discord è stato compromesso, e le impostazioni di verifica in due passaggi e la passkey sono state modificate.
Si tratta di un caso di furto del token di sessione, piuttosto che di furto delle credenziali. Una volta che un infostealer ha sottratto una sessione del browser autenticata, gli aggressori possono spesso aggirare misure di sicurezza come l’autenticazione a due fattori (2FA), poiché riutilizzano una sessione che è già stata autenticata.
La tecnica in sé non è nuova. A gennaio 2025 avevamo già segnalato una campagna simile che prendeva di mira i giocatori di Roblox con offerte per partecipare al beta testing di nuovi giochi. Il cosiddetto “programma di installazione” era in realtà un infostealer progettato per sottrarre dati, tra cui le sessioni su Discord e Steam e le informazioni relative ai portafogli di criptovalute.
Cosa possono fare gli sviluppatori
Se sviluppi giochi su Roblox, i consigli per proteggerti sono poco entusiasmanti e riguardano soprattutto il comportamento.
- Presta attenzione alle offerte di lavoro non richieste su Discord. Se uno sconosciuto ti chiede di installare uno “strumento per database”, un programma di installazione personalizzato o qualsiasi altro file, non eseguirlo.
- Gli sviluppatori che devono testare software che non conoscono dovrebbero farlo in un ambiente isolato, come una macchina virtuale, piuttosto che su un dispositivo su cui hanno effettuato l'accesso a Roblox, Discord, GitHub o altri account importanti.
- Controlla regolarmente le sessioni Roblox attive e i dispositivi su cui hai effettuato l'accesso e attiva le funzionalità di protezione avanzata di Roblox, ove disponibili. Queste non impediranno l'azione dei malware che rubano le sessioni, ma possono aiutarti a proteggerti da molte altre forme di compromissione dell'account.
- Se dovesse verificarsi il peggio, documenta tutto il prima possibile. Conserva traccia dei messaggi, degli screenshot, delle modifiche agli account e delle richieste di assistenza per facilitare l'eventuale processo di ripristino.
- Utilizza un software di sicurezza con protezione in tempo reale. Malwarebytes Premium rilevare e bloccare i programmi di furto di dati e altri malware prima che compromettano i tuoi account.
Non ci limitiamo a segnalare le minacce, ma le eliminiamo.
I rischi per la sicurezza informatica non dovrebbero mai diffondersi al di là di un titolo di giornale. Tenete le minacce lontane dai vostri dispositivi scaricando Malwarebytes oggi stesso.
