Популярность пользовательского контента в Steam привлекла внимание киберпреступников. Специалисты по информационной безопасности зафиксировали новую схему распространения вредоносных программ через платформу для анимированных и интерактивных обоев.
Изображение - ChatGPT
«Лаборатория Касперского» сообщила о десятках зараженных пакетов в Steam Workshop, связанных с Wallpaper Engine. Злоумышленники использовали их для компрометации учётных записей Steam и заражения компьютеров дополнительным вредоносным ПО.
Особенность схемы связана с форматом так называемых обоев-приложений. В отличие от обычных изображений, они представляют собой исполняемые файлы Windows и работают как полноценные программы. Именно этот механизм позволил скрывать вредоносный код внутри распространяемых файлов.
После запуска зараженного пакета на устройстве появлялся бэкдор из семейства DarkKomet. Затем вредоносная программа устанавливала измененную системную библиотеку, которая искала данные для входа в Steam и позволяла перехватывать активную сессию пользователя. Получив доступ к аккаунту, злоумышленники загружали через него новые зараженные обои. Это помогало расширять масштаб атаки и вовлекать все больше ПК.
Исследователи также обнаружили похитители данных Lumma и Vidar, криптомайнеры, загрузчики ботнетов и программы-вымогатели. По оценке Kaspersky, этот канал использовали несколько независимых групп.
Часть зараженных файлов успела набрать десятки тысяч загрузок. Среди пострадавших стран оказались Китай, Россия, Германия, Сингапур, Канада, Гонконг и Индия. Steam уже удалила выявленные вредоносные пакеты, однако специалисты считают угрозу продолжающейся.

