Исследователи «Лаборатории Касперского» обнаружили вредоносную кампанию с использованием сервиса Steam Workshop и приложения Wallpaper Engine для установки на рабочий стол анимированных и интерактивных обоев. Злоумышленники распространяют десятки зараженных наборов обоев с целью кражи игровых аккаунтов и установки дополнительных вредоносов. В первую очередь атаки направлены на пользователей Steam в России и Китае, но такие попытки были зафиксированы и в Сингапуре, Гонконге, Германии, Вьетнаме, Индии, Канаде. Об этом CNews сообщили представители «Лаборатории Касперского».
По данным экспертов «Лаборатории Касперского», вредоносная кампания длится как минимум с конца 2025 г. Некоторые из пакетов обоев для Wallpaper Engine, распространяемых через Steam Workshop, уже были скачаны десятки тысяч раз.
Steam Workshop — это сервис, интегрированный в игровую платформу Steam. Он позволяет создавать, публиковать и распространять пользовательский контент, включая моды для игр, пользовательские карты, игровые предметы и обои.
Приложение Wallpaper Engine, в свою очередь, поддерживает несколько форматов обоев, которые можно создавать из видео, интерактивных сцен, веб-страниц и приложений. Функция создания фоновых обоев на основе приложений в Wallpaper Engine позволяет запускать исполняемые программы непосредственно на компьютере, что дает злоумышленникам возможность распространять вредоносное ПО под видом легитимного контента.
Два основных способа доставки ВПО. Первый — атакующие внедряли вредоносные исполняемые файлы, DLL-библиотеки и скрипты непосредственно в пакет обоев. После установки обоев вредоносные компоненты запускались автоматически. Второй — злоумышленники скрывали вредоносное ПО в архивах, защищённых паролем, причём пароли были встроены в имена архивов или конфигурационные файлы.
Например, один из вредоносных образцов, обнаруженных в декабре 2025 г., на первый взгляд работал нормально, и запускал установленную на рабочем столе игру без каких-либо видимых признаков взлома. Однако в фоновом режиме вредоносные обои устанавливали бэкдор DarkKomet для получения удалённого доступа к ПК пользователей и модифицированную библиотеку, предназначенную для атак на владельцев аккаунтов в Steam. Это позволяло атакующим собирать данные учетных записей и перехватывать активные сеансы в популярной игровой платформе.
Кто стоит за атаками. Вероятно, атаки реализовывали множество независимых злоумышленников, а не одна группа — при этом они не ограничивались одним семейством вредоносных программ. Некоторые заражённые пакеты обоев распространяли программы-стилеры Lumma и Vidar, а также загрузчик вредоносных программ для кражи паролей, банковских карт и других личных данных RenEngine.
Решения «Лаборатории Касперского» обнаруживают и блокируют все вредоносное ПО, связанное с этой кампанией.
«Злоумышленники используют популярные платформы для распространения зловредов, рассчитывая на то, что пользователи считают размещённый там контент безопасным. Хотя многие из семейств вредоносного ПО, применяемых в этой кампании, хорошо известны, используемые механизмы доставки позволяют атакующим охватить большое количество потенциальных жертв через внешне безобидные обои», — сказал Максим Стародубов, эксперт по кибербезопасности в «Лаборатории Касперского».
Эксперты «Лаборатории Касперского» рекомендуют: оставаться предельно внимательными при загрузке приложений даже из надёжных источников; прежде чем устанавливать пользовательский контент, проверять репутацию и легитимность его авторов; установить на все используемые устройства надежные защитные решения, эффективность которых подтверждена независимыми тестами.
Поделиться
