изображение: grok
Через Steam Workshop распространялось вредоносное ПО, замаскированное под обои для Wallpaper Engine. Атакующие загружали пакеты, которые внешне выглядели как обычные оформления рабочего стола, а внутри несли бэкдоры, инфостилеры и майнеры. Часть таких файлов набирала десятки тысяч скачиваний до того, как её удаляли.
Кампанию выявили специалисты «Лаборатории Касперского». По их данным, заражённые обои появлялись в каталоге Workshop минимум с конца 2025 года. Wallpaper Engine — это приложение для анимированного оформления рабочего стола Windows с многомиллионной аудиторией, и значительная часть контента для него скачивается через встроенный магазин Steam.
Сам Steam Workshop работает как площадка пользовательского контента. Там публикуют моды, карты, дополнения и оформления для разных игр и программ. Для Wallpaper Engine допускается несколько форматов:
- статические и анимированные изображения;
- видеообои с фоновой музыкой;
- веб-обои на HTML и JavaScript;
- полноценные приложения Windows с собственным интерфейсом;
- интерактивные сцены с реакцией на курсор и звук.
Интересно, что именно поддержка исполняемых файлов Windows внутри обоев превратила безобидную функцию персонализации в удобный канал доставки малвари — пользователь сам запускает то, что ему подсунули под видом красивой картинки.
Вредоносный код прятали по двум схемам. В одних случаях он находился прямо в пакете обоев и срабатывал сразу после установки через Wallpaper Engine. В других злоумышленники прикладывали к оформлению защищённый паролем архив и через описание убеждали жертву распаковать его вручную — пароль обычно оставляли рядом, в комментариях к публикации.
Один из проанализированных образцов выдавал себя за мини-игру под названием NTRaholic. Жертва видела рабочее приложение со своей логикой, графикой и реакцией на действия пользователя, а в фоновом режиме в систему ставился бэкдор семейства DarkKomet. Заодно подбрасывалась подменённая библиотека AggregatorHost.dll, которая искала на машине файлы клиента Steam, доставала оттуда данные учётных записей и готовила их к выгрузке на сервер атакующих.
Помимо DarkKomet, под видом обоев распространяли целый набор зловредов:
- инфостилер Lumma для кражи паролей и данных браузеров;
- инфостилер Vidar с акцентом на криптокошельки;
- скрытые майнеры криптовалют;
- загрузчики, подключающие машину к ботнету;
- модули семейства RanEngine;
- шифровальщики-вымогатели.
Такой разброс полезной нагрузки указывает не на одну группировку, а на несколько независимых команд, которые параллельно эксплуатировали одну и ту же лазейку. Кто-то охотился за аккаунтами Steam с дорогими инвентарями CS2 и Dota 2, кто-то — за криптокошельками, кто-то монетизировал заражённые машины через майнинг и аренду ботнета.
Стоит обратить внимание на бизнес-модель: атакующим даже не приходилось ломать защиту Steam — достаточно красиво оформить страницу, нагнать первые загрузки и комментарии, и алгоритмы магазина сами начинали показывать заражённое оформление новым посетителям.
После обращения исследователей Valve вычистила обнаруженные образцы из Workshop. Только это не закрывает проблему целиком — порог входа для повторной заливки остаётся низким. Новый аккаунт, слегка переделанный пакет, свежий пароль на архив — и схема перезапускается. Модерация Workshop исторически ориентирована на нарушения авторских прав и неприемлемый контент, а не на исполняемый код внутри обоев.
Пользователям советуют не воспринимать Workshop как заведомо безопасную песочницу. Минимальная гигиена выглядит так:
- смотреть, давно ли существует аккаунт автора и есть ли у него другие работы;
- читать свежие отзывы, а не только верхние закреплённые;
- настораживаться, если в комплекте идёт защищённый паролем архив;
- избегать обоев, которые без объяснений просят запустить .exe или .bat;
- прогонять скачанные файлы через антивирус и сервисы вроде многодвижковых сканеров перед запуском.
Отдельно — про интерактивные обои и приложения. Если оформление весит подозрительно много для статичной картинки, тянется к интернету или просит права администратора при установке, это повод закрыть Wallpaper Engine и удалить пакет, не разбираясь дальше.
Ранее сообщалось, что стремительный рост инфраструктуры искусственного интеллекта начал влиять не только на рынок дата-центров, но и на стоимость потребительской электроники. Аналитики отмечали, что высокий спрос на чипы оперативной памяти со стороны ИИ-компаний привёл к дефициту компонентов и росту цен на ряд устройств, включая игровые консоли, ноутбуки, планшеты, VR-гарнитуры и смартфоны. Основной причиной называлась массовая закупка памяти для обучения и эксплуатации крупных нейросетевых моделей.
Эксперты редакции CISOCLUB уверены, что кейс с Wallpaper Engine — закономерное продолжение тренда на атаки через доверенные витрины контента. Игровые площадки давно перестали быть нишевой целью и превратились в полноценный канал доставки малвари наравне с почтой и мессенджерами. Сама архитектура Wallpaper Engine с поддержкой исполняемых файлов даёт атакующим почти готовый фреймворк для маскировки, а психология пользователя — ожидание развлечения, а не угрозы — снимает остатки бдительности. Платформам пора пересматривать подход к проверке пользовательского контента, который умеет запускать код, и вводить отдельную модерацию для таких категорий. Геймерам же стоит относиться к Workshop с тем же скепсисом, что и к случайным ссылкам из личных сообщений.
Оригинал публикации на сайте CISOCLUB: ""Лаборатория Касперского": хакеры через обои для Wallpaper Engine в Steam распространяли вирусы, бэкдоры и стилеры".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.