Laut der Mitteilung der Außenstelle Seattle ist das FBI gesetzlich verpflichtet, Opfer von Bundesstraftaten zu identifizieren, die es untersucht. Betroffene könnten Anspruch auf bestimmte Leistungen, Entschädigung und Rechte nach Bundes- oder Landesrecht haben; alle Identitäten würden vertraulich behandelt, teilte die Behörde gegenüber BleepingComputer mit. Die in den Massenbenachrichtigungen vom 12. März 2026 genannte Website und E-Mail-Adresse seien offiziell und vom FBI autorisiert. Weitere Details über die Angaben auf der Website hinaus könne man derzeit nicht nennen.

Das Formular bittet außerdem um Screenshots von Kommunikationen mit Personen, die für die Spiele geworben haben. Solche Hinweise könnten den Ermittlern helfen, die gestohlene Kryptowährung zu verfolgen und zu den Verteilern der Schadsoftware zurückzuverfolgen. BleepingComputer richtete auch Fragen an Valve, erhielt jedoch keine Antwort.

Mehrere der in den vergangenen zwei Jahren auf Steam entdeckten bösartigen Spiele verbreiteten Information-Stealer, die Zugangsdaten, Krypto-Wallets und andere sensible Daten von den Geräten der Spieler abgreifen sollten.

Einer der bekanntesten Fälle betrifft BlockBlasters, einen kostenlosen 2D-Plattformer, der von Juli bis September 2024 auf Steam verfügbar war. Zunächst war das Programm sauber, später wurde ein sogenannter Cryptodrainer eingeschleust. Öffentlich wurde der Vorfall während eines Livestreams des Spiele-Streamers Raivo Plavnieks (RastalandTV), der Geld für eine Krebsbehandlung sammelte. Nach dem Herunterladen des verifizierten Spiels verlor er nach eigenen Angaben mehr als 32.000 US-Dollar aus seiner Krypto-Wallet. Der Blockchain-Ermittler ZachXBT schätzte später, dass die Angreifer rund 150.000 US-Dollar von 261 Steam-Konten erbeuteten; der Sicherheitsforscher VX-Underground meldete mit 478 eine höhere Opferzahl.

Beim Survival- und Crafting-Spiel Chemia fügte ein als EncryptHub bekannter Angreifer die Malware HijackLoader hinzu, die den Information-Stealer Vidar nachlud. Später zeigte sich, dass das Spiel zusätzlich EncryptHubs eigene Schadsoftware Fickle Stealer installierte, die Zugangsdaten, Browserdaten, Cookies und Krypto-Wallets stiehlt.

Auch das Spiel PirateFi verteilte den Infostealer Vidar und war im Februar 2025 etwa eine Woche lang auf Steam verfügbar. Bis zu 1.500 Nutzer könnten es heruntergeladen haben, bevor es entfernt wurde. Steam warnte anschließend die Spieler, die das Spiel gestartet hatten, dass möglicherweise schädliche Dateien auf ihren Rechnern ausgeführt worden seien, und riet zu Virenscans, einer Überprüfung der installierten Software sowie gegebenenfalls einer Neuinstallation des Betriebssystems.