Accountdiefstal loopt meestal uit op het verlies van een wachtwoord. In dit geval hackers er met de hele game vandoor.
Ontwikkelaars van enkele van de miljoenen spellen op Roblox vertelden 404 Media dat aanvallers hen hadden overgehaald om één bepaald bestand uit te voeren. Vervolgens zagen ze hoe hun groep, hun spel en hun Robux-saldo (de valuta op het platform) binnen enkele uren naar de account van iemand anders verdwenen. In verschillende gevallen kon de klantenservice van Roblox hen pas helpen de spellen terug te krijgen nadat een verslaggever het bedrijf had gebeld voor commentaar.
Van stralend tot vijandige overname
Vroeger waren aanvallen op Roblox opportunistisch. „Beamers“ richtten zich op individuele spelers om zeldzame hoeden, gelimiteerde items en accounts te stelen, om deze vervolgens door te verkopen. Dat patroon is veranderd. De nieuwe doelwitten zijn ontwikkelaarsaccounts, en de buit is het spel zelf.
Ioannis Matziaris vertelde aan 404 Media dat zijn twee 20-jarige zonen vijf jaar lang hebben gewerkt aan de ontwikkeling van een Roblox-spel met de naam The Shadow Network. In april benaderden aanvallers een van hen met een baanaanbod en haalden hem over om een bepaald bestand uit te voeren. Het bleek malware te zijn. De aanvallers namen de controle over het spel, het Roblox-account van de groep en hun Robux-saldo over.
Een andere ontwikkelaar, Jovan Rai, kreeg hetzelfde voorstel voor een baan als projectmanager. Deze keer deden de aanvallers zich voor als Cheesy Studios, het bedrijf van de gebroeders Matziaris, om het aanbod geloofwaardiger te maken. De 15-jarige verdiende ongeveer 10.000 Robux (ongeveer 38 dollar) per dag met zijn spel. Hij probeerde meer dan 30 dagen lang via de klantenservice van Roblox zijn Robux terug te krijgen, voordat media-aandacht ervoor zorgde dat de zaak in een stroomversnelling kwam.
De malware achter de diefstal
Ontwikkelaar Mohamed Kaparoza beschreef hoe de aanval in zijn werk ging. De aanvallers namen via Discord contact met hem op, lokten hem met een functie als projectmanager en vroegen hem een Python-pakket met de naam „robase“ te installeren, waarvan ze beweerden dat het een databasetool was. Kort na de installatie werd hij zowel op zijn pc als op zijn telefoon uit Roblox uitgelogd. Zijn Discord-account ging daarbij ook verloren, en zijn instellingen voor tweestapsverificatie en zijn wachtwoord werden gewijzigd.
Het gaat hier om diefstal van een sessietoken, en niet om diefstal van inloggegevens. Zodra een infostealer een geauthenticeerde browsersessie heeft gestolen, kunnen aanvallers vaak beveiligingsmaatregelen zoals tweefactorauthenticatie (2FA) omzeilen, omdat ze een sessie hergebruiken die al is geauthenticeerd.
De techniek zelf is niet nieuw. In januari 2025 hebben we al bericht over een soortgelijke campagne die zich richtte op Roblox-spelers met aanbiedingen om nieuwe games te testen in de bètafase. Het zogenaamde „installatieprogramma” bleek in werkelijkheid een infostealer te zijn, bedoeld om gegevens te stelen, waaronder Discord- en Steam-sessies en informatie over cryptovaluta-wallets.
Wat ontwikkelaars kunnen doen
Als je Roblox-spellen maakt, is het advies om je te beschermen niet bepaald glamoureus en vooral gericht op je gedrag.
- Wees voorzichtig met ongevraagde vacatures op Discord. Als een onbekende je vraagt om een ‘databasetool’, een aangepast installatieprogramma of welk bestand dan ook te installeren, voer dit dan niet uit.
- Ontwikkelaars die onbekende software moeten testen, moeten dat doen in een geïsoleerde omgeving, zoals een virtuele machine, en niet op een apparaat waarop ze zijn ingelogd bij Roblox, Discord, GitHub of andere belangrijke accounts.
- Controleer regelmatig je actieve Roblox-sessies en de apparaten waarop je bent ingelogd, en schakel de functies voor verbeterde beveiliging van Roblox in, indien beschikbaar. Deze functies houden malware die sessies kaapt weliswaar niet tegen, maar ze kunnen wel helpen bij de bescherming tegen vele andere vormen van accountmisbruik.
- Mocht het ergste gebeuren, leg dan zo snel mogelijk alles vast. Bewaar berichten, schermafbeeldingen, wijzigingen in je account en supportverzoeken, zodat je deze later kunt gebruiken bij een eventueel herstelproces.
- Gebruik beveiligingssoftware met realtime bescherming. Malwarebytes Premium infostealers en andere malware detecteren en blokkeren voordat ze uw accounts in gevaar brengen.
We rapporteren niet alleen over bedreigingen - we verwijderen ze ook
Cyberbeveiligingsrisico's mogen zich nooit verder verspreiden dan een krantenkop. Houd bedreigingen van uw apparaten door Malwarebytes vandaag nog te downloaden.
