Злоумышленники используют Steam Workshop, платформу сообщества Valve для загрузки игрового контента, чтобы распространять различное вредоносное ПО, скрытое в пакетах с обоями.
Зараженные обои могут привести к угону аккаунтов Steam, заражению системы через бэкдор или запуску процессов для майнинга криптовалюты.
Steam Workshop — это встроенная платформа для обмена контентом в игровом сервисе Steam от Valve. Пользователи могут загружать и скачивать созданный сообществом контент для игр и приложений. Такой контент включает моды, карты, скины, файлы сохранений, инструменты и другие пользовательские материалы, например обои.
Вредоносное ПО в обоях
В опубликованном отчете исследователи «Лаборатории Касперского» сообщили, что атаки используют приложение Wallpaper Engine для настройки рабочего стола. Оно доступно в Steam и имеет почти миллион отзывов.
Wallpaper Engine поддерживает четыре типа обоев. Они могут отображать видео, интерактивные сцены, веб-страницы с воспроизведением аудио и видео, а также приложения — активные окна программ, которые Wallpaper Engine устанавливает в качестве фона рабочего стола.
Обои-приложения — это исполняемые Windows-приложения. К ним могут относиться игры, виджеты рабочего стола и инструменты для мониторинга системы. В «Лаборатории Касперского» предупреждают, что эта функция создает встроенный риск безопасности и уже использовалась для доставки вредоносного ПО пользователям Steam.
По данным исследователей, злоумышленники используют этот пробел в безопасности как минимум с конца 2025 года. Они загружали вредоносные файлы обоев в Steam Workshop и обманом убеждали пользователей устанавливать их через Wallpaper Engine.
В «Лаборатории Касперского» отмечают:
Мы обнаружили десятки таких вредоносных обоев-приложений в Steam Workshop. Каждый из них уже скачали тысячи или даже десятки тысяч раз.
Анализ скомпрометированных обоев показал, что вредоносное ПО находится либо прямо внутри пакета, либо в защищенных паролем архивах, которые пользователя обманом заставляют открыть.
По словам исследователей, полезная нагрузка запускается автоматически в момент, когда пользователь устанавливает обои.
«Лаборатория Касперского» протестировала один из таких файлов с обоями, который маскировался под игру NTRaholic. После запуска он действительно открывался как игра, чтобы не вызывать подозрений. Однако в фоновом режиме в систему устанавливался файл бэкдора из семейства вредоносного ПО DarkKomet.
Схема развертывания вредоносного ПО
Также устанавливалась модифицированная версия системной библиотеки AggregatorHost.dll. Она использовалась для поиска аккаунтов Steam на компьютере и кражи учетных данных.
Перехват веб-сессии пользователя Steam
Исследователи обнаружили несколько случаев с участием других семейств вредоносного ПО. Среди них — инфостилеры Lumma и Vidar, майнеры криптовалюты, загрузчики ботнетов, RanEngine и даже разновидности программ-вымогателей. Это показывает, что Wallpaper Engine использовали разные группы злоумышленников.
Steam уже выявил и удалил все вредоносные приложения-обои, обнаруженные «Лабораторией Касперского». Однако исследователи предупреждают, что злоумышленники, скорее всего, будут загружать новые вредоносные файлы.
Помимо загрузки контента только из доверенных источников, Kaspersky рекомендует пользователям проверять все, что скачивается из Steam Workshop, с помощью актуального антивирусного решения.
Угрозы безопасности
• Steam Workshop распространяет вредоносное ПО через приложение Wallpaper Engine
• Google судится с Outsider Enterprise: 9000 фишинговых сайтов на Gemini
• В Chrome исправлена уязвимость «нулевого дня», которая применялась в реальных атаках
• Уязвимость «нулевого дня» в Comodo Internet Security позволяет удалённо вызвать BSOD одним IPv6-пакетом
• Уязвимости в роутерах Acer Wave 7 позволяют получить полный контроль над устройством
• Уязвимость «нулевого дня» в VS Code позволяет похитить токены GitHub одним кликом