Wallpaper Engine de la Steam a fost armat pentru a fura acreditările utilizatorului și a deturna sesiunile active
WTF?! Potrivit Kaspersky, infractorii cibernetici vizează utilizatorii Steam cu o campanie susținută de programe malware din 2025, distribuind software rău intenționat deghizat în imagini de fundal pentru desktop. Atacul a deturnat conturile jucătorilor care foloseau aplicația Wallpaper Engine de la Steam, care se află printre cele mai populare descărcări non-game ale platformei.
Se pare că atacul a abuzat de executabilul „Application Wallpaper” al Wallpaper Engine, care rulează ca un program Windows autonom și poate include jocuri dezvoltate de comunitate, planificatoare, calendare, monitoare de sistem și alte widget-uri. Cu toate acestea, deoarece aplicația permite ca codul terță parte neverificat să ruleze pe sistemele utilizatorilor, poate fi abuzat de actorii amenințărilor pentru a viza utilizatorii nebănuiți.
Cercetătorii au descoperit că atacatorii au folosit două metode principale pentru a distribui malware. Prima a implicat arhive care conțineau imaginea de fundal executabilă alături de o încărcătură utilă rău intenționată, incluzând de obicei fișiere .exe compromise, DLL-uri sau scripturi. Malware-ul a fost, de asemenea, ascuns frecvent în arhivele protejate cu parolă și executat automat atunci când a fost aplicat imaginea de fundal.
Odată aplicate, executabilele infectate au furat acreditările contului utilizatorilor, au deturnat sesiunile live și au transmis datele furate către serverele controlate de atacatori. Cercetătorii au descoperit zeci de imagini de fundal cu aplicații rău intenționate pe Steam Workshop, dintre care unele au fost descărcate de zeci de mii de ori.
Pentru a testa modul de operare al atacatorilor, cercetătorii au lansat un tapet care conține un joc rău intenționat numit NTRaholic, care rula „fără cusur”. Gameplay-ul și controalele au funcționat așa cum se anunțase, fără a ridica nicio suspiciune la prima vedere. Cu toate acestea, fără ca utilizatorul să știe, imaginea de fundal a căzut o ușă din spate numită Synaptics.exe, parte a familiei notorii de malware DarkKomet.
Executabilul care a lansat jocul a fost numit ._cache_GAME1.exe, dar a instalat și o bibliotecă de sistem numită AggregatorHost.dll, care conținea o sarcină utilă rău intenționată, concepută pentru a fura datele utilizatorului și a le transmite serverului de comandă și control al atacatorilor. Odată ce atacatorii au câștigat controlul asupra sesiunii active, au folosit contul compromis pentru a încărca imagini de fundal rău intenționate suplimentare în Steam Workshop.
Campania a vizat în primul rând jucătorii din China, care au reprezentat 89% din descărcările compromise. Utilizatorii din Germania, Canada, Rusia, Singapore, Hong Kong, Vietnam și India au fost, de asemenea, afectați, deși în număr mult mai mic. De atunci, Steam a eliminat toate imaginile de fundal rău intenționate, dar Kaspersky îndeamnă în continuare utilizatorii să execute scanări antivirus înainte de a aplica imagini de fundal care includ executabile încorporate.
