Исследователи «Лаборатории Касперского» обнаружили вредоносную кампанию с использованием сервиса Steam Workshop и приложения Wallpaper Engine для установки на рабочий стол анимированных и интерактивных обоев. Злоумышленники распространяют десятки заражённых наборов обоев с целью кражи игровых аккаунтов и установки дополнительных вредоносов. В первую очередь атаки направлены на пользователей Steam в России и Китае, такие попытки также были зафиксированы в Сингапуре, Гонконге, Германии, Вьетнаме, Индии и Канаде. При этом злоумышленники могут провести атаку на пользователей Wallpaper Engine из любого региона, включая Азербайджан.
По данным экспертов «Лаборатории Касперского», вредоносная кампания длится как минимум с конца 2025 года. Некоторые из пакетов обоев для Wallpaper Engine, распространяемых через Steam Workshop, уже были скачаны десятки тысяч раз.
Steam Workshop — это сервис, интегрированный в игровую платформу Steam. Он позволяет создавать, публиковать и распространять пользовательский контент, включая моды для игр, пользовательские карты, игровые предметы и обои.
Приложение Wallpaper Engine, в свою очередь, поддерживает несколько форматов обоев, которые можно создавать из видео, интерактивных сцен, веб-страниц и приложений. Функция создания фоновых обоев на основе приложений в Wallpaper Engine позволяет запускать исполняемые программы непосредственно на компьютере, что даёт злоумышленникам возможность распространять вредоносное ПО под видом легитимного контента.
Два основных способа доставки ВПО. Первый — атакующие внедряли вредоносные исполняемые файлы, DLL-библиотеки и скрипты непосредственно в пакет обоев. После установки обоев вредоносные компоненты запускались автоматически. Второй — злоумышленники скрывали вредоносное ПО в архивах, защищённых паролем, причём пароли были встроены в имена архивов или конфигурационные файлы.
Например, один из вредоносных образцов, обнаруженных в декабре 2025 года, на первый взгляд работал нормально, и запускал установленную на рабочем столе игру без каких-либо видимых признаков взлома. Однако в фоновом режиме вредоносные обои устанавливали бэкдор DarkKomet для получения удалённого доступа к ПК пользователей и модифицированную библиотеку, предназначенную для атак на владельцев аккаунтов в Steam. Это позволяло атакующим собирать данные учётных записей и перехватывать активные сеансы в популярной игровой платформе.
Кто стоит за атаками. Вероятно, атаки реализовывали множество независимых злоумышленников, а не одна группа — при этом они не ограничивались одним семейством вредоносных программ. Некоторые заражённые пакеты обоев распространяли программы-стилеры Lumma и Vidar, а также загрузчик вредоносных программ для кражи паролей, банковских карт и других личных данных RenEngine.
Решения «Лаборатории Касперского» обнаруживают и блокируют всё вредоносное ПО, связанное с этой кампанией.
«Атакующие нередко используют популярные развлекательные платформы для распространения зловредов, рассчитывая на то, что пользователи посчитают размещённый там контент безопасным. Хотя многие из семейств вредоносного ПО, применяемых в этой кампании, хорошо известны, способы распространения позволяют злоумышленникам охватить большое количество потенциальных жертв через внешне безобидные обои для рабочего стола», — рассказывает Мушвиг Мамедов, официальный представитель «Лаборатории Касперского» в Азербайджане.
Эксперты «Лаборатории Касперского» рекомендуют:
- оставаться предельно внимательными при загрузке приложений даже из надёжных источников;
- прежде чем устанавливать пользовательский контент, проверять репутацию и легитимность его авторов;
- установить на все используемые устройства надёжные защитные решения, эффективность которых подтверждена независимыми тестами.
