Даже привычные пользовательские площадки могут превращаться в канал заражения, если загружаемый контент может запускать код. Злоумышленники использовали Steam Workshop для распространения вредоносных обоев через приложение Wallpaper Engine.
О проблеме сообщили специалисты Kaspersky. По их данным, атаки идут как минимум с конца 2025 года. Вредоносные файлы маскировались под обои для Wallpaper Engine и попадали к пользователям через Steam Workshop, где обычно публикуют пользовательский контент, включая моды, карты и скины.
Риск связан с форматом «обои-приложения» в Wallpaper Engine. Такие обои фактически являются исполняемыми программами Windows, которые можно показывать на рабочем столе. Возможность нужна для виджетов, мини-игр и системных панелей, но злоумышленники использовали её для запуска вредоносного кода.
По данным Kaspersky, вредоносная нагрузка находилась прямо внутри пакета обоев или пряталась в защищённых паролем архивах, а пользователей убеждали открыть их вручную. После установки обоев вредоносная программа запускалась автоматически. Такие файлы пользователи уже скачали тысячи раз, а в отдельных случаях десятки тысяч раз.
В тестовой проверке специалисты разобрали один из пакетов, который выдавал себя за игру NTRaholic. При запуске приложение выглядело как обычная программа, но параллельно устанавливало бэкдор из семейства DarkKomet, то есть инструмент для скрытого удалённого доступа. Другой компонент искал на компьютере учётные записи Steam и пытался похитить данные для входа.
Kaspersky также нашла другие варианты вредоносного ПО, включая стилеры Lumma и Vidar, криптомайнеры, загрузчики ботнетов, RanEngine и отдельные образцы шифровальщиков. Steam уже обнаружил и удалил вредоносные обои, о которых сообщили специалисты, но злоумышленники могут загрузить новые файлы. Для снижения риска рекомендуется скачивать контент только из надёжных источников и проверять файлы из Steam Workshop проверенным антивирусом с актуальными базами.