Злоумышленники использовали Wallpaper Engine в Steam, чтобы распространять вредоносные обои через Steam Workshop. По оценке SteamSpy, у приложения от 20 до 50 млн установок, поэтому масштаб атаки тут совсем не игрушечный.
Схему описали исследователи Kaspersky, а детали кампании отдельно разобрал BleepingComputer. Хакеры не ломали сам Steam в лоб. Они загрузили в мастерскую Wallpaper Engine десятки вредоносных материалов, замаскированных под обычные пользовательские обои.
Для Steam это неприятный, но логичный вектор атаки. Игроки привыкли скачивать моды, скины, карты и обои прямо из мастерской. Порог доверия высокий, кликов мало, а аудитория огромная.
❗️ ПОДПИСЫВАЙСЯ НА НАШ КАНАЛ В ДЗЕНЕ И ЧИТАЙ КРУТЫЕ СТАТЬИ БЕСПЛАТНО
Вредоносные обои работали как обычные Windows-программы
Главная деталь кампании — не картинка в формате JPEG или PNG, а тип обоев application wallpaper. Wallpaper Engine поддерживает статичные изображения, видео, интерактивные сцены, веб-страницы и приложения. Последний вариант запускает полноценный Windows-исполняемый файл на ПК пользователя.
Именно этот механизм атакующие и использовали. По данным Kaspersky, часть вредоносных файлов лежала прямо в установочных пакетах. В других случаях код прятали в защищённых паролем архивах, которые пользователей уговаривали открыть вручную.
Некоторые такие обои набрали тысячи и даже десятки тысяч загрузок. После установки они могли выглядеть нормально: рабочий стол оживал, а пользователь не видел ничего странного. Но параллельно система получала вредоносную нагрузку.
NTRaholic ставил DarkKomet и охотился за Steam-данными
Один из примеров Kaspersky — объект под названием NTRaholic, замаскированный под игру. После установки он запускал обои, но в фоне добавлял на ПК бэкдор из семейства DarkKomet. Это уже не косметическая шалость с рабочим столом, а удалённый доступ к системе.
Для кражи Steam-учёток атакующие использовали модифицированную системную библиотеку AggregatorHost.dll. Она искала учётные данные Steam и могла передать их злоумышленникам. Для владельца аккаунта это риск потери библиотеки, инвентаря и привязанных платёжных данных.
Исследователи нашли не только DarkKomet. В заражённых обоях встречались инфостилеры Lumma и Vidar, а также образцы, связанные с распространением шифровальщиков. То есть кампания била не только по Steam, но и по всему ПК.
- DarkKomet: бэкдор для удалённого доступа к системе.
- Lumma: инфостилер для кражи данных из браузеров и приложений.
- Vidar: инфостилер, который охотится за паролями и токенами.
- Шифровальщики: вредоносные программы, блокирующие файлы ради выкупа.
Steam Workshop остаётся удобной площадкой, но доверие не равно защите
После уведомления от Kaspersky компания Valve удалила найденные заражённые обои из Steam Workshop. Это важный факт: речь не про бесконтрольный магазин, где годами лежит мусор. Но сама модель пользовательского контента всё равно даёт атакующим удобный канал доставки.
Wallpaper Engine популярен ровно из-за этой открытости. Пользователь заходит в Steam Workshop и за пару кликов ставит сотни тысяч обоев от других людей. Для видеообоев и сцен это обычно безобидно. Для application wallpapers ситуация другая: там работает код, а не просто картинка.
❗️ ПОДПИСЫВАЙСЯ НА НАШ КАНАЛ В ДЗЕНЕ И ЧИТАЙ КРУТЫЕ СТАТЬИ БЕСПЛАТНО
Мы бы относились к таким обоям как к небольшим программам. У них может быть красивый превью-ролик, тысячи загрузок и нормальные комментарии. Но если внутри лежит исполняемый файл, он получает шанс сделать с ПК больше, чем поменять фон.
Valve уже убрала обнаруженные Kaspersky вредоносные работы из Steam Workshop. По оценке SteamSpy, установленная база Wallpaper Engine всё ещё находится в диапазоне 20-50 млн копий.
Подписывайтесь на наши каналы в Telegram и Дзен, чтобы узнавать больше. И делитесь своим мнением и опытом в нашем чате.
Wallpaper Engine в Steam использовали для кражи аккаунтов ⚡️