Cercetătorii Kaspersky au descoperit o campanie activă de distribuire de malware care exploatează Steam Workshop & Wallpaper Engine, aplicații populare de pe Steam, utilizate pentru crearea și distribuirea de imagini de fundal animate pentru desktop. Cercetătorii au identificat mai multe pachete de imagini de fundal infectate, care au acumulat mii de descărcări. China și Rusia au fost principalele ținte ale atacului, însă au fost identificate victime și în Singapore, Hong Kong, Germania, Vietnam, India și Canada. Principalul obiectiv al atacatorilor a fost furtul conturilor de gaming și instalarea de programe malware suplimentare.
Steam Workshop este o funcționalitate integrată a platformei de jocuri Steam care le permite utilizatorilor să găsească, să instaleze și să gestioneze cu ușurință conținut creat de comunitate, precum moduri de joc, hărți personalizate, obiecte pentru jocuri și imagini de fundal. Aplicația Wallpaper Engine acceptă mai multe formate de fundaluri, inclusiv videoclipuri, scene interactive, pagini web și aplicații.
Funcționalitatea care permite utilizarea aplicațiilor drept imagini de fundal face posibilă rularea programelor executabile direct pe calculatorul utilizatorului cu Windows, oferind astfel atacatorilor posibilitatea de a distribui software malițios sub aparența unui conținut legitim. Kaspersky a identificat zeci de pachete de imagini de fundal infectate disponibile prin Steam Workshop. Multe dintre acestea înregistrau mii sau chiar zeci de mii de descărcări.
Atacatorii au utilizat două metode principale de distribuire. În unele cazuri, fișiere executabile malițioase, biblioteci DLL și scripturi erau incluse direct în pachetul imaginii de fundal. În alte situații, malware-ul era ascuns în arhive protejate cu parolă, parolele fiind incluse în numele arhivelor sau în fișierele de configurare. Odată instalată imaginea de fundal, componentele malițioase erau executate automat.
De exemplu, una dintre imaginile de fundal malițioase descoperite în decembrie 2025 părea să funcționeze normal la prima vedere, lansând un joc desktop integrat fără semne vizibile de compromitere. În fundal însă, aceasta instala backdoor-ul DarkKomet și o bibliotecă modificată concepută pentru a viza utilizatorii Steam: colecta informații despre conturi și deturna sesiunile Steam active.
Exemple de pachete de imagini de fundal infectate pe Steam
Atacurile au fost cel mai probabil desfășurate de mai mulți actori independenți, și nu de un singur grup, și nu s-au limitat la o singură familie de malware. În mai multe cazuri, Kaspersky a detectat imagini de fundal malițioase care distribuiau programele de tip infostealer Lumma și Vidar, precum și încărcătorul malware RenEngine. Soluțiile de securitate Kaspersky detectează și blochează toate amenințările asociate acestei campanii.
Informații detaliate sunt disponibile într-un raport publicat pe Securelist.
Kaspersky recomandă utilizatorilor:
- Să manifeste prudență atunci când descarcă orice aplicație, chiar și din surse considerate de încredere;
- Să verifice reputația și legitimitatea creatorilor de conținut înainte de a instala conținut generat de utilizatori;
- Să utilizeze soluții de securitate cibernetică de încredere pentru detectarea amenințărilor.
